`
menuhin
  • 浏览: 25760 次
  • 性别: Icon_minigender_1
  • 来自: 宁波
社区版块
存档分类
最新评论

关于XSS 攻击的解决办法!

    博客分类:
  • java
ZendPHPHTMLJavaScriptSVN
阅读更多
快到国庆了而且今年又是60周年,各个政府网站也都开始对网站的安全、漏洞进行大规模的扫描,很不幸我们公司开发的一个政府网站被扫描出来存在SQL注入、XSS、CSRF等漏洞!网站是几年前采用PHP开发的,由于开发人员本身的安全意识不足,代码编写上不严谨,滥用$_REQUEST类变量等导致网站存在了很多的安全隐患。最近一直都在研究XSS攻击如何防范,由于研究的时间不长简单的总结了下防御办法。
如下表单 
<form name="testform" method="post" action="news/comment.php">
                            <input type="text" name="userName">
                            <input type="hidden" name="test1" />
                            <input type="hidden" name="test2" />
</form>

如果在用户在输入用户时录入的数据为" /><script src=xxx></script>这样就会插入了恶意的脚本
解决办法
1、对用户录入的数据进行类型和长度的验证,其它的包括对URL、查询关键字、HTTP头、get、post也需要进行可靠的输入验证,这样可以抵挡部分恶意的脚本,但是不能完全防住。
2、尽量采用POST方式而非GET方式提交表单;对”<”,”>”,”;”,”’”等字符做过滤;任何内容输出到页面之前都必须加以encode。对于Cookie 尽量避免直接泄露用户隐私,可以用cookie结合其它一些系统或用户信息来降低泄露后的危险。
3、这里要注意一下如果注入代码如<img src="javascript:alert('XSS')">这种需要把关键字去除如 src  href  这些连接性的 发现没有带协议头的就需要帮助补充。而style 则需要重点处理 /**/ expression url,尽可能禁止style属性,将所有的样式都定义到CSS中。
4、尽量减少在客户端进行写document等敏感操作,重点关注以下方法
document.URL
document.URLUnencoded
document.location ()
document.referrer
window.location ()
document.create...()等
逐层进行过滤客户端、服务器端、数据库访问层,每一层都进行下数据的过滤尽量将危险控制在最低。
以上是对XSS攻击的一个简单总结,希望大家能够再多多补充。附一张扫描结果!
  • 大小: 38.7 KB
分享到:
| Android Market 即将升级,客户端程序视频 ...
评论
17 楼 xiaoyu 2009-12-11  
问题我说了, 是安全问题, 还有法律问题。 自己看吧
16 楼 xieye 2009-10-26  
xiaoyu 写道
不要再输入后过滤,然后存到数据库里面, 这样的危险性很大,而且数据不能跨平台(非HTML的客户端)。

为什么不能输入后过滤,是因为,今天可能是<>引起了问题, 明天可能会有更多的以前没有注意到的安全问题(例如&gt;也有问题了,仅仅举例子)。输入后过滤仅仅为了不要每次都过滤,省下了一些性能, 但是可以用生成静态文件,缓存等等方式解决的。

输出前过滤是最好的方法。




保存到数据库之前过滤有一个很大的好处,就是显示的地方多,不需要在每个显示的地方,模板的代码简单些,而插入的代码只在一个地方。

而php自带的函数可以正反切换,如果需要原来字符的话调一下好了。

所以没有一定最好的办法。


15 楼 cfc4nl 2009-10-21  
SafeHtml 可以不???
HTML富文本过滤的...我觉得不错
这里有介绍http://www.80sec.com/richtext-xssfilter.html
14 楼 ccxw1983 2009-09-30  
提交表单可以用httpclient类的工具来实现的,所以页面上判断是肯定不够的,要防注入就得在后台接收表单的时候处理下,或者对要执行的sql进行检查。
13 楼 icyleaf 2009-09-29  
htmlspecialchars 函数不行么?
12 楼 savasun 2009-09-23  
menuhin 写道
活靶子 写道
微软有个Anti-Cross Site Scripting Library 是.net托管程序集 反编译一下照着画成php的就基本能用了

嗯,这个我前几天在MSDN里也有看到过!MS不错的!!

这个作为项目的检测和修改成本太高。不过确实值得一试
11 楼 menuhin 2009-09-22  
活靶子 写道
微软有个Anti-Cross Site Scripting Library 是.net托管程序集 反编译一下照着画成php的就基本能用了

嗯,这个我前几天在MSDN里也有看到过!MS不错的!!
10 楼 menuhin 2009-09-22  
willko 写道
php里要解决xss比较好的方案是用HTML Purifier,它过滤xss,还可以自动填补没关闭的标签。。自定义过滤规则,很强大

哈哈,刚看了下,确实不错!谢谢兄弟了!
9 楼 willko 2009-09-22  
php里要解决xss比较好的方案是用HTML Purifier,它过滤xss,还可以自动填补没关闭的标签。。自定义过滤规则,很强大
8 楼 活靶子 2009-09-22  
微软有个Anti-Cross Site Scripting Library 是.net托管程序集 反编译一下照着画成php的就基本能用了
7 楼 xieye 2009-09-22  
menuhin 写道
xieye 写道
很多类库都有此功能。

能推荐几个吗??


我只会用最简单最傻瓜的。目的:过滤html标签和属性,方式:只允许白名单
Zend类库。
首先要加载Zend,就不多说了,然后,下面的代码摘抄自《php Web 2.0开发指南》 
        protected function cleanHtml($html)
        {
            $chain = new Zend_Filter();
            
            $tags = array(
                'a'      => array('href', 'target',  'style'),
                'img'    => array('src', 'alt' ,'style', 'width', 'height'),
                'b'      => array('style'),
                'strong' => array('style'),
                'em'     => array('style'),
                'i'      => array(),
                'ul'     => array('style'),
                'li'     => array('style'),
                'ol'     => array('style'),
                'p'      => array('style'),
                'br'     => array(),
                'font'   => array('size' , 'color', 'style'),
                'div'    => array('style'),
                'span'   => array('style'),
                'center' => array(),
                'h1'     => array('style'),
                'h2'     => array('style'),
                'h3'     => array('style'),
                'h4'     => array('style'),
                'h5'     => array('style'),
                'h6'     => array('style'),
            
                'table'  => array( 'bgcolor', 'border', 'cellpadding', 
                                  'cellspacing',), 
                'tbody'  => array('style', 'align', 'valign'),
                'tr'     => array('style', 'align', 'bgcolor', 'valign'),
                'td'     => array('style', 'align', 'bgcolor', 'colspan', 'height',
                                  'nowrap', 'rowspan', 'scope', 'valign', 'width'),
                'th'     => array('style', 'align', 'bgcolor', 'colspan', 'height',
                                  'nowrap', 'rowspan', 'scope', 'valign', 'width'),
                'thead'  => array('style'),
            );
            
                     
            $chain->addFilter(new Zend_Filter_StripTags($tags));
            $chain->addFilter(new Zend_Filter_StringTrim());

            $html = $chain->filter($html);

            $tmp = $html;
            while (1) {
                // Try and replace an occurrence of javascript:
                $html = preg_replace('/(<[^>]*)javascript:([^>]*>)/i',
                                     '$1$2',
                                     $html);

                // If nothing changed this iteration then break the loop
                if ($html == $tmp)
                    break;

                $tmp = $html;
            }

            return $html;
        }

6 楼 xiaoyu 2009-09-21  
menuhin 写道
xiaoyu 写道
不要再输入后过滤,然后存到数据库里面, 这样的危险性很大,而且数据不能跨平台(非HTML的客户端)。

为什么不能输入后过滤,是因为,今天可能是<>引起了问题, 明天可能会有更多的以前没有注意到的安全问题(例如&gt;也有问题了,仅仅举例子)。输入后过滤仅仅为了不要每次都过滤,省下了一些性能, 但是可以用生成静态文件,缓存等等方式解决的。

输出前过滤是最好的方法。

生成静态页面并不是很有效,有些功能比如:会员注册 是一定要进行输入验证的。
“输入后过滤仅仅为了不要每次都过滤 ”这句话有点不太理解哦!!



这个数据验证和所说的过滤不是一回事呀。。。。。, 我没有说不要输入的时候验证, 但是不要做过滤那些XSS的标签。

因为如果在输出前进行转换的话(转换掉XSS的标签),要每次都要做,所以可以用上面的某些方法避免。如果在输入后就转化,拿输出就不用每次都转化了。

静态和缓存又不是锤子,什么都能锤。

5 楼 menuhin 2009-09-21  
xieye 写道
很多类库都有此功能。

能推荐几个吗??
4 楼 menuhin 2009-09-21  
xiaoyu 写道
不要再输入后过滤,然后存到数据库里面, 这样的危险性很大,而且数据不能跨平台(非HTML的客户端)。

为什么不能输入后过滤,是因为,今天可能是<>引起了问题, 明天可能会有更多的以前没有注意到的安全问题(例如&gt;也有问题了,仅仅举例子)。输入后过滤仅仅为了不要每次都过滤,省下了一些性能, 但是可以用生成静态文件,缓存等等方式解决的。

输出前过滤是最好的方法。

生成静态页面并不是很有效,有些功能比如:会员注册 是一定要进行输入验证的。
“输入后过滤仅仅为了不要每次都过滤 ”这句话有点不太理解哦!!
3 楼 xiaoyu 2009-09-21  
不要再输入后过滤,然后存到数据库里面, 这样的危险性很大,而且数据不能跨平台(非HTML的客户端)。

为什么不能输入后过滤,是因为,今天可能是<>引起了问题, 明天可能会有更多的以前没有注意到的安全问题(例如&gt;也有问题了,仅仅举例子)。输入后过滤仅仅为了不要每次都过滤,省下了一些性能, 但是可以用生成静态文件,缓存等等方式解决的。

输出前过滤是最好的方法。
2 楼 jindw 2009-09-21  
xieye 写道
用户输入的内容必须经过html过滤,这是很基本的呀。

很多类库都有此功能。

最后,要确定表中存的数据是html转义后的还是转义前的,

如:存的是<>,  还是存的是&lt; &gt;


人是不可靠的,我更倾向于通过技术手段保障输出的合法性。

比如。使用xml 模板引擎,你想写出具有xss漏洞的网页都难。

顺便推荐一下Lite XML:
http://www.iteye.com/news/10422-lite
对于PHP环境,开源的版本性能不如smarty,目前有一个专门的优化版本 lite2php,综合性能大概是smarty的6倍,不过现在还没有对外开放,透露一点测试数据:
http://templatetest.googlecode.com/svn/trunk/TT/web/lite2php-smarty/stat/index.html
这个连接只能用ie打开。
1 楼 xieye 2009-09-19  
用户输入的内容必须经过html过滤,这是很基本的呀。

很多类库都有此功能。

最后,要确定表中存的数据是html转义后的还是转义前的,

如:存的是<>,  还是存的是&lt; &gt;
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics