`

Xss跨站脚本经验总结Cross Site Scripting

阅读更多

最近这段时间我所在的公司让我搞一些有关网络安全方面的东西,其实是有关安全机制方面的工作,现在所做的项目整体已经到了维护的阶段,我所处的项目组现在还在改造,不过遗留了好多bug,特别是有关Xss方面的,(XSS跨站脚本 http://de.wikipedia.org/wiki/XSS或者http://baike.baidu.com/view/50325.htm)。详情请参考以上网址。

 

1.在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。

2.他经常发生在如下情况,比如在你的地址栏参数后面加一串javacript脚本,就会在你请求晚场之后弹出对话框,或者在后面加入一些敏感字符,如:单引号,分号,alert等等,他的变种有好多。

eg:Http://localhost:8080/test/index.jsp<script>alert(123)</script>

如果存在跨站脚本就会弹出123.

3.解决方案:

大概思路:

原因——》为什么会出现Xss跨站攻击,大部分是(恶意或用专业的工具扫描)用户在客户端向服务器发送一个请求的时候,掺杂了一些非法字符,如上面提到的,如果不进行过滤,就会出现跨站攻击。

方法——》对每次提交过来的参数、表单对象进行过滤,用到了request.getParam(),request.getAttrbute(),一个是获取string参数值,一个是表单对象。在没有响应之前就对其进行过滤,然后在将其提交相应。

具体实现——》写一个工具类,用到了XSSProtect(上面提到的Google XSSProtect),参考其文档写一个工具类;然后写一个HttpRequestWrapper,将其参数进行过滤后包装;最后写一个Filter,得到所有的请求资源,对请求资源过滤,实现其doFilter方法,然后在web.xml中配置。

4.注意事项

可能会有乱码现象(请参考 http://jiji87432.iteye.com/admin/blogs/1832443)。

 

希望对大家有所帮助!谢谢!有关安全机制方面的东西还需要学习很多,希望大家多多分享!

 

 

分享到:
评论

相关推荐

    XSS跨站脚本攻击在Java开发中防范的方法

    XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终用户。XSS攻击主要分为以下两种类型: 1. **存储型XSS**(Persistent ...

    XSS跨站脚本攻击剖析与防御

    XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本。这种攻击通常发生在Web应用中,当网站未能正确地过滤或转义用户输入的数据,使得这些数据可以作为可...

    XSS跨站脚本攻击漏洞修复方法

    XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将深入探讨XSS攻击的类型、危害,并...

    XSS跨站脚本攻击

    XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的Web应用安全威胁,其核心在于利用网站对用户输入数据的处理不当,允许攻击者注入恶意脚本到网页中,这些脚本在用户浏览器上执行,进而窃取用户的敏感信息、篡改...

    xss跨站脚本攻击与预防

    XSS(Cross Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击者通过注入恶意代码,使受害...

    XSS.rar_XSS_cross scripting_cross site java_cross site scripting

    XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...

    XSS 跨站脚本攻击 的防御解决方案

    XSS 跨站脚本攻击 的防御解决方案 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

    xss跨站脚本.docx

    XSS 跨站脚本攻击防御指南 XSS 跨站脚本攻击是一种常见的 web 应用程序攻击手法,它通常发生在 web 应用程序没有正确地对用户输入进行验证和过滤的情况下。下面我们将详细介绍 XSS 跨站脚本攻击的原理、类型、攻击...

    第一节 XSS跨站脚本分类-01

    XSS 跨站脚本攻击(Cross Site Scripting)是一种常见的 Web 应用程序安全漏洞。攻击者可以通过在 Web 页面中插入恶意 Script 代码来攻击用户。XSS 攻击的原理是,当用户浏览包含恶意 Script 代码的 Web 页面时,该 ...

    XSS跨站脚本gj剖析与防御(完整版) pdf

    《XSS跨站脚本gj剖析与防御》是一份详尽探讨网络安全中XSS(Cross-Site Scripting)攻击的资源,对于理解和防范这种常见网络威胁至关重要。XSS攻击是一种利用网站用户输入来注入恶意脚本的手段,这些脚本能够在受害...

    XSS跨站脚本攻击剖析与防御.docx

    跨站脚本(Cross Site Scripting,简称XSS)攻击是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意脚本注入到看似可信的网站上。当用户浏览这些被注入恶意脚本的页面时,恶意脚本会在用户的浏览器环境中执行,...

    XSS 跨站脚本攻击及防范

    XSS(Cross Site Scripting)跨站脚本攻击是一种网络安全漏洞,主要针对Web应用程序,让攻击者能够在受害者的浏览器上执行恶意脚本。攻击者通过在网页中插入有害的HTML代码,当用户浏览该页面时,这些代码会被执行,...

    web安全技术-实验七、跨站脚本攻击(xss)(反射型).doc

    XSS,全称Cross Site Scripting,是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞向网页中注入恶意脚本,当其他用户浏览该页面时,这些脚本会被执行,从而可能窃取用户的敏感信息、篡改页面内容或者实施其他恶意...

    xss跨站脚本攻击

    XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的网络安全威胁,主要通过在受害者的浏览器环境中注入恶意脚本,从而实现对用户的攻击。这种攻击方式之所以能够成功,主要是因为恶意代码被误认为是合法的...

    Cross-site Scripting

    **跨站脚本攻击(Cross-Site Scripting, XSS):威胁、机制与防范** 在当今高度数字化的社会中,网络安全已成为不可忽视的关键议题。其中,跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络攻击方式,对...

    XSS Attacks CROSS SITE SCRIPTING EXPLOITS AND DEFENSE

    跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络安全威胁,尤其针对Web应用程序。本书《XSS Attacks: Cross-Site Scripting Exploits and Defense》深入探讨了XSS攻击的各种形式、实施方法以及防范措施...

    xss跨站脚本攻击详解

    XSS攻击,全称为**跨站脚本攻击**(Cross Site Scripting),是一种常见的网络安全漏洞,它发生在Web应用程序未能正确过滤用户输入的数据时。攻击者可以借此机会将恶意脚本注入到正常的应用程序流程中,进而对其他...

    xss跨站点脚本编制漏洞/antisamy策略过滤

    XSS跨站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略

    XSS跨站脚本攻击课件

    XSS(Cross-Site Scripting)跨站脚本攻击是网络攻防领域中的常见威胁,攻击者利用这种技术向网页中注入恶意脚本,进而对用户的信息安全构成严重风险。由于浏览器通常无法区分合法与恶意脚本,因此在未采取适当防护...

    Syngress Cross Site Scripting Attacks Xss Exploits and Defense May 2007.pdf

    #### 知识点一:跨站脚本攻击(Cross-Site Scripting, XSS) **定义与原理** 跨站脚本攻击(Cross-Site Scripting, 简称XSS)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本。这些脚本通常...

Global site tag (gtag.js) - Google Analytics