跨站脚本(XSS)概述
跨站脚本Cross-site scripting是最为流行的web安全漏洞之一
恶意攻击者往web页面插入恶意html代码,当用户浏览该页时,嵌入其中web里面的html代码回被执行,从而达到恶
意攻击用户的特殊目的。
XSS属于被动攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
原因
过度相信客户端数据
过分相信动态web技术的安全能力
服务器端的安全设置不足
用户过于信任网站上的所有连接
未对Cookies做足够的安全处理
原理及危害
通过输入特殊的HTML/Javascript/CSS代码到取浏览者的敏感数据
通过注入包含特殊内容的字符串改变目标网页的结构或内容
通过上传特殊的文件获取服务器高极权限或破坏服务器系统及数据
通过社会工程学原理诱骗用户访问或点击包含恶意代码的网页或连接,实施不良行为
HttpUtility.HtmlEncode();
防御跨站脚本攻击
监察所有通过用户输入数据产生动态网页的代码是否存在安全漏洞
监察用户输入数据(Form, Cookies, Request.QueryString)是否存在不安全信息
Cookies做一定的安全处理(比如说绑定MAC,IP之类的)
限制输入数据的长度
对输出进行编码以过滤特殊字符
HttpUtility.HtmlEncode
AntiXss.HtmlEncode
能使用值类型的尽量不要使用String类型
跨站脚本Cross-site scripting是最为流行的web安全漏洞之一
恶意攻击者往web页面插入恶意html代码,当用户浏览该页时,嵌入其中web里面的html代码回被执行,从而达到恶
意攻击用户的特殊目的。
XSS属于被动攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
原因
过度相信客户端数据
过分相信动态web技术的安全能力
服务器端的安全设置不足
用户过于信任网站上的所有连接
未对Cookies做足够的安全处理
原理及危害
通过输入特殊的HTML/Javascript/CSS代码到取浏览者的敏感数据
通过注入包含特殊内容的字符串改变目标网页的结构或内容
通过上传特殊的文件获取服务器高极权限或破坏服务器系统及数据
通过社会工程学原理诱骗用户访问或点击包含恶意代码的网页或连接,实施不良行为
HttpUtility.HtmlEncode();
防御跨站脚本攻击
监察所有通过用户输入数据产生动态网页的代码是否存在安全漏洞
监察用户输入数据(Form, Cookies, Request.QueryString)是否存在不安全信息
Cookies做一定的安全处理(比如说绑定MAC,IP之类的)
限制输入数据的长度
对输出进行编码以过滤特殊字符
HttpUtility.HtmlEncode
AntiXss.HtmlEncode
能使用值类型的尽量不要使用String类型
