众所周知,XSS几乎在最常见、危害最大的WEB漏洞 。针对这个危害,我们应该怎么防范呢 。
下面简单说一下思路 。
作者:轻轻的烟雾(z281099678)
一、XSS漏洞是什么XSS漏洞网上的资料太多,这里只简单说一下 。
大概分为3种类型:反射型、存储型、DOM型 。
但其实我认为,DOM型是被包含在反射型和存储型里的,只不过它具有一定的特殊性,所以经常把它独立出来说明 。
1.反射型就是攻击者对存在XSS漏洞的系统,通过构建一个具有攻击功能的URL链接,然后想方设法让被攻击者访问这个链接 。一旦被攻击者访问了攻击链接,则暴露了自己的信息 。
文章插图
2.存储型就是攻击者提交具有攻击功能的内容给有XSS漏洞的系统,系统把内容保存之后,就像一个地雷一样埋伏在系统里 。被攻击者一旦访问这个地雷所在的页面,就不知不觉的泄漏了这个信息 。
注意:这个地雷是永久有效的,可无限制的爆炸,而且爆炸并不会引起被攻击者的注意 。
3.DOM型就是利用反射型或者存储型漏洞,让被攻击者访问的页面的DOM发生改变,进而引起XSS攻击 。
二、XSS攻击的防范XSS臭名昭著,因为这类攻击简单,而危险极大 。可能泄漏任何后台管理员的cookie,导致攻击者直接绕开登录检测的“大门”,直接进入后台系统,进而进行下一步可能危害性更大的攻击 。
防范手段大概如下:
1.对用户提交数据进行过滤、转移开发者或者安全工程师要有一个理念:所有用户都不可信 。对于用户提交的信息,做完善的过滤、转移 。
针对前端用户提交的数据,进行HTML字符转移、标签过滤等操作,对于需要提交富文本的后台用户,做好严格的允许和禁止的标签及属性的检查 。
严格做好数据的检测和过滤,理论上可以控制绝大部分XSS攻击 。当然事实上要做到完美的控制很难 。
文章插图
2.设置Content-Security-Policy设置内容安全策略,限制浏览器对资源引用 。这样可以一定程度上避免攻击者引入攻击资源 。
文章插图
3.对Cookie增加HttpOnly、Secure属性对敏感Cookie进行保护,我认为是一种“事后保护”策略 。即便是攻击者已经成功埋下了XSS地雷,但是由于我们做好Cookie保护,所以XSS攻击也拿不到想要的Cookie,从而导致攻击失效 。
这里另外说一点,对于这一点,其实攻击者可能还有一些别开生面的思路,虽然无法直接拿到Cookie,但是他可以利用XSS发起一些迷惑人的攻击,比如给页面引到另外一个钓鱼页面,或者直接弹出帐号密码输入框,一旦被攻击者缺乏安全意识甚至是一个不小心,便主动把用户名和密码提交给了攻击者 。
文章插图
三、更多对于XSS的防不胜防,我想到另外一个“补救措施”,那就是对系统进行监控 。
我们把系统所有要正常引入的资源的域名都做成白名单,然后对系统的资源引用做监控,一旦系统的页面引入了白名单之外的资源,即记录引用资源等信息,并对安全员或者系统管理员发送告警 。
利用浏览器PerformanceObserver对象,对所有的网络资源加载进行监控:
经验总结扩展阅读
- 南宫问雅摸谁谁傻什么意思
- 休闲食品店进货渠道有哪些
- 5块5休闲零食进货渠道在哪找
- iqoo9参数详细_iqoo9参数配置
- 华为nova8pro屏幕刷新率_华为nova8pro屏幕多少Hz
- 2023中秋国庆放假调休时间表最新
- 2023年中秋国庆加班费怎么计算
- 化妆品批发在哪进货比较好
- 中秋节发红包多少适合女朋友的
- 女生诗意古韵的名字两字 诗意古韵的名字两字