、对于那些半年没有更新的小企业网站来说,发生XSS漏洞几乎没有什么用
2、但是在各类的社交平台,邮件系统,开源流行的Web应用,BBS,微博等场景中,造成的杀伤力却十分强大。
3、劫持用户cookie是最常见的跨站攻击形式,通过在网页中写入并执行脚本执行文件(多数情况下是JavaScript脚本代码),劫持用户浏览器,将用户当前使用的sessionID信息发送至攻击者控制的网站或服务器中。
4、又可以称为“框架钓鱼”。利用JS脚本的基本功能之一:操作网页中的DOM树结构和内容,在网页中通过JS脚本,生成虚假的页面,欺骗用户执行操作,而用户所有的输入内容都会被发送到攻击者的服务器上。
5、挂马(水坑攻击)
6、有局限性的键盘记录
概念
跨站脚本 ( Cross-Site Scriptin ) 简称xss,是由于Web应用程序对用户的输入过滤不足而产生的.攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端 Javascript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取 Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击.
危害
1、网络钓鱼,包括盗取各类用户账号;
2、窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作;
3、劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等;
4、强制弹出广告页面、刷流量等;
5、网页挂马,进行恶意操作,例如任意篡改页面信息、删除文章等;
6、进行大量的客户端攻击,如DDoS攻击;
7、获取客户端信息,例如用户的浏览历史、真实IP、开放端口等;
8、控制受害者机器向其他网站发起攻击;
9、结合其他漏洞,如CSRF漏洞,实施进一步作恶;
10、提升用户权限,包括进一步渗透网站;
11、传播跨站脚本蠕虫等;
对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。
一、什么是XSS
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。
在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
二、XSS攻击的主要途径
XSS攻击方法只是利用HTML的属性,作各种的尝试,找出注入的方法。现在对三种主要方式进行分析。
第一种:对普通的用户输入,页面原样内容输出。
打开http://go.ent.163.com/goproducttest/test.jsp(限公司IP),输 入:scriptalert(‘xss’)/script, JS脚本顺利执行。当攻击者找到这种方法后,就可以传播这种链接格式的链接 (http://go.ent.163.com/goproducttest/test.jsp?key=JSCODE)如:http: //go.ent.163.com/goproducttest/test.jsp?key=scriptalert(‘xss’) lt;/script,并对JSCODE做适当伪装,如:
http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70 %74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,当其 它用户当点此链接的时候,JS就运行了,造成的后果会很严重,如跳去一个有木马的页面、取得登陆用户的COOKIE等。
第二种:在代码区里有用户输入的内容
原则就是,代码区中,绝对不应含有用户输入的东西。
第三种:允许用户输入HTML标签的页面。
用户可以提交一些自定义的HTML代码,这种情况是最危险的。因为,IE浏览器默认采用的是UNICODE编码,HTML编码可以用ASCII方式来写,又可以使用”/”连接16进制字符串来写,使得过滤变得异常复杂,如下面的四个例子,都可以在IE中运行。
1,直接使用JS脚本。
img src=”javascript:alert(‘xss’)” /
2,对JS脚本进行转码。
img src=”javascript:alert(‘xss’)” /
3,利用标签的触发条件插入代码并进行转码。
img onerror=”alert(‘xss’)” /
4,使用16进制来写(可以在傲游中运行)
img STYLE=”background-image: /75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″
以上写法等于img STYLE=”background-image: url(javascript:alert(‘XSS’))”
三、XSS攻击解决办法
请记住两条原则:过滤输入和转义输出。
具体执行的方式有以下几点:
第一、在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等
第二、在输出方面,在用户输内容中使用XMP标签。标签内的内容不会解释,直接显示。
第三、严格执行字符输入字数控制。
四、在脚本执行区中,应绝无用户输入。
xxs攻击原理是网页对用户输入的字符串过滤不严,导致在提交输入信息的时候浏览器执行了黑客嵌入的xxs脚本,致使用户信息泄露。黑客可将伪装过的含义脚本语句的链接发送给受害者,当受害者点击链接的时候,由于网页没有过滤脚本语句,所以浏览器执行了脚本语句,而这个脚本语句的作用是将用户的cookie发送到黑客指定的地址,然后黑客就可以利用受害者的cookie窃取受害者的个人信息等等。这种攻击对服务器没有多大危害,但对用户危害很大,要防范这种攻击应该在设计网站的时候对用户提交的内容进行严格的过滤。
首先要说明的是 它是webkit的一个模块,而非chrome ,所以Safari和360安全浏览器极速模式等webkit内核的浏览器都有XSS过滤功能.
过滤方式:
通过模糊匹配 输入参数(GET query| POST form data| Location fragment ) 与 dom树,如果匹配中的数据中包含跨站脚本则不在输出到上下文DOM树中.另外,匹配的规则跟CSP没有什么关系,最多是有参考,CSP这种规范类的东西更新速度太慢跟不上现实问题的步伐.
关闭模式:
因为它有可能影响到业务,所以浏览器提供了关闭它的HTTP响应头.
X-XSS-Protection: 0
绕过方式:
因为专门做这方面的原因所以对绕过也有所了解,目前我发布过的一个bypass 0day还可以继续使用.
svgscript xlink:href=data:,alert(1)/script/svg
您好,我来为您解答:
XSS就是XSS。所谓“存储型”、“反射型”都是从黑客利用的角度区分的。对于程序员来说意义不大,反而是误导。只有“DOM-based”型略有不同。
XSS、SQL
injection之类的漏洞,原理都是破坏跨层协议的数据/指令的构造。
希望我的回答对你有帮助。
《天降之物》
大概内容:故事讲述的是居住在日本九州福冈县空美町里的男主角-樱井智树,以和平至上为座右铭,某天上课睡觉时梦见一个长了翅膀的女性向自己求救,然后晚上遇到从天而降及自称是“娱乐用万能天使”的不明生物-伊卡洛斯,伊卡洛斯把降落后见到的第一位人类,也就是智树称呼为“主人”,自此两人同居在一起,智树的生活就开始脱轨,发生了一连串有趣的故事……(之后还有尼姆芙,阿斯特莱亚等人物认智树为主人,后宫动漫)
《人型电脑天使心》
大概内容:因为考试失败才从北海道到了东京的本须和秀树,是个心地善良,总是无意识的把自己想的东西都说出来的有点傻气的男孩。初到东京时,对随处可见的人形电脑深感兴趣,这些电脑除了拥有作为数据接续端子的耳朵外,外表和真人几乎没有差别。它们的外形都非常可爱,而且总是完全的服从于它们的主人,因此很多人都乐于和电脑为伴。为了可以赶上潮流,上网等,秀树渴望也有一个属于自己的电脑。一个偶然的机会,秀树在自己宿舍附近的垃圾堆里捡到了一个非常可爱的少女外表电脑,好不容易把她启动了,但她没有安装任何软件,所以什么也不懂,只会发出“唧”的叫声,于是秀树就给它起名“唧”。叽看来对秀树很有好感,她是一部特殊的电脑,有着自己的意识。尽管她只是一部电脑,但当她对着秀树甜甜的微笑说“你回来啦”时,却在不知不觉间赶走了秀树内心的孤独,于是,秀树和叽的故事开始了。秀树的宿舍的管理员日比谷小姐是位漂亮的女性,幸好有她的帮助,叽才有了合适的衣服穿。不过背后日比谷小姐却掌握着叽的秘密,她是为了实现她丈夫的心愿,让他制造的唧得到幸福而故意让唧和秀树相遇的…… 而秀树同时也认识了一个好朋友,叫做新保。新保在唧的方面给了秀树很多帮助。实际上新保和补习班清水老师是恋爱关系,因为清水老师的丈夫只和电脑说话,所以冷落了自己的妻子。新保在补习班刚开学的时候无意中发现了这一点,感觉清水老师很可怜,就渐渐的喜欢上了她。而管理员日比谷小姐的丈夫就是制造唧的人,实际上日比谷小姐也是重要的参与人员,因为本来叽就是给日比谷小姐当女儿的,唧还有个姐姐Freya(芙莱雅),但因为是Chobits有自己的感情,而芙莱雅竟然爱上了日比谷小姐的丈夫,最后忧郁而导致无法启动,决定消失,消失之前叽让Freya以灵魂的模式进入叽的身体,这也就是在叽受到危险的时候帮助叽的那个和叽很像的“东西”的真面目.至于叽为什么在垃圾箱附近就是因为Freya爱上了日比谷小姐的丈夫后日比谷小姐的丈夫也病死了,而日比谷小姐就把叽重启后让一个“只属于叽的人”找到,也就是秀树。当秀树确定了爱叽时,也就是叽找到了“只属于我的人”时就发动一个程序,和全世界的电脑相连,这个程序能让人型电脑失去辨别人型电脑与人的能力,也就是说——在人型电脑眼里人与人型电脑是没有区别的!(这个程序在动画版里没有做出解释,但在漫画版里做了解释。)而叽马上成功时却放弃了,因为她“认为电脑就是电脑,代替不了人,因为爱所以离开。”自毁了,把Freya形态变了出来,求日比谷小姐销毁她们,日比谷小姐报出了密码“CHOBITS”,删除了她们的所有资料,最后秀树很心痛的对着已经没有了记忆的躯壳说“帮我转告她,幸福就是与自己喜欢的人在一起,即使在一起会很痛苦,但如果不在一起,只会更加痛苦。”这时,“躯壳”哭了,一道强光闪过,叽把程序执行完后变回了叽,和秀树抱在了一起。最后还有裕美和叽打工的蛋糕店的植田店长在一起了,本来就是一对却因为误会而没走到一起,最后裕美终于和他走到了一起。(应该也属于主仆动漫,但是主角不把女主当仆人看)《魔力女管家》
另外
妖狐x仆ss
《fate stay night》(算是吧)
旋风管家
黑执事
你是主人我是仆
《黑执事》
会长大人是女仆
假面女仆卫士
怪物王女
魔力女管家
旋风管家
你是主我是仆
零之使魔
我来说两句