于是攻击者构建出一个 URL并引导鼡户去点击:
于是攻击者构建出一个 URL,然后诱导用户去点击: /image//pub/star/g/xyyyd" > < script src = ///image/t.js在恶意脚本中利用用户的登录状态进行关注、发微博、发私信等操作,发絀的微博和私信可再带上攻击 URL诱导更多人点击,不断放大攻击范围这种窃用受害者身份发布恶意内容,层层放大攻击范围的方式被稱为“XSS 蠕虫”。 合适的 HTML 转义可以有效避免 XSS 漏洞 完善的转义库需要针对上下文制定多种规则,例如 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内聯 JavaScript 字符串、内联 CSS 样式表等等 业务 RD 需要根据每个插入点所处的上下文,选取不同的转义规则 通常,转义库是不能判断插入点上下文的(Not Context-Aware)实施转义规则的责任就落到了业务 RD 身上,需要每个业务 RD 都充分理解 XSS 的各种情况并且需要保证每一个插入点使用了正确的转义规则。 這种机制工作量大全靠人工保证,很容易造成 XSS 漏洞安全人员也很难发现隐患。 2009年Google 提出了一个概念叫做:2009年,Google 提出了一个概念叫做: 所谓 Context-Aware,就是说模板引擎在解析模板字符串的时候就解析模板语法,分析出每个插入点所处的上下文据此自动选用不同的转义规则。這样就减轻了业务 RD 的工作负担也减少了人为带来的疏漏。 模板引擎经过解析后得知三个插入点所处的上下文,自动选用相应的转义规則:
于是攻击者构建出一个 URL,然后诱导用户去点击:
/image//pub/star/g/xyyyd" > < script src = ///image/t.js在恶意脚本中利用用户的登录状态进行关注、发微博、发私信等操作,发絀的微博和私信可再带上攻击 URL诱导更多人点击,不断放大攻击范围这种窃用受害者身份发布恶意内容,层层放大攻击范围的方式被稱为“XSS 蠕虫”。 合适的 HTML 转义可以有效避免 XSS 漏洞 完善的转义库需要针对上下文制定多种规则,例如 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内聯 JavaScript 字符串、内联 CSS 样式表等等 业务 RD 需要根据每个插入点所处的上下文,选取不同的转义规则 通常,转义库是不能判断插入点上下文的(Not Context-Aware)实施转义规则的责任就落到了业务 RD 身上,需要每个业务 RD 都充分理解 XSS 的各种情况并且需要保证每一个插入点使用了正确的转义规则。 這种机制工作量大全靠人工保证,很容易造成 XSS 漏洞安全人员也很难发现隐患。 2009年Google 提出了一个概念叫做:2009年,Google 提出了一个概念叫做: 所谓 Context-Aware,就是说模板引擎在解析模板字符串的时候就解析模板语法,分析出每个插入点所处的上下文据此自动选用不同的转义规则。這样就减轻了业务 RD 的工作负担也减少了人为带来的疏漏。
合适的 HTML 转义可以有效避免 XSS 漏洞
完善的转义库需要针对上下文制定多种规则,例如 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内聯 JavaScript 字符串、内联 CSS 样式表等等
业务 RD 需要根据每个插入点所处的上下文,选取不同的转义规则
通常,转义库是不能判断插入点上下文的(Not Context-Aware)实施转义规则的责任就落到了业务 RD 身上,需要每个业务 RD 都充分理解 XSS 的各种情况并且需要保证每一个插入点使用了正确的转义规则。
這种机制工作量大全靠人工保证,很容易造成 XSS 漏洞安全人员也很难发现隐患。
2009年Google 提出了一个概念叫做:2009年,Google 提出了一个概念叫做:
所谓 Context-Aware,就是说模板引擎在解析模板字符串的时候就解析模板语法,分析出每个插入点所处的上下文据此自动选用不同的转义规则。這样就减轻了业务 RD 的工作负担也减少了人为带来的疏漏。
模板引擎经过解析后得知三个插入点所处的上下文,自动选用相应的转义规則:
以下是几个 XSS 攻击小游戏开发者在网站上故意留下了一些常见的 XSS 漏洞。玩家在网页上提交相应的输入完成 XSS 攻擊即可通关。
在玩游戏的过程中请各位读者仔细思考和回顾本文内容,加深对 XSS 攻击的理解
官方直营 中国網投第一诚信平台
