Programmierer erobern die Sicherheit: Teilen und Lernen — Cross-Site Scripting (XSS)
自 2000 年代初以来,跨站脚本 (XSS) 一直是安全专业人员的心头大患,遗憾的是,几十年过去了,它仍然是最常见的代码级威胁之一。这类软件漏洞已经困扰我们太久了,而CISA最近发出的警报--作为其 "按设计保证安全"运动的一部分--正试图一劳永逸地挫败它。他们肩负着大规模消除漏洞类的全球使命,这种对开发人员驱动型安全的关注确实能起到推动作用,但这需要精明的企业做出承诺,让他们的开发人员在安全方面取得成功。
那么,XSS 究竟是什么呢?
网页浏览器可能是我们访问网上所有精彩内容的门户,但遗憾的是,它并不都是好消息。网络浏览器的固有行为可能会成为安全漏洞的催化剂。浏览器一开始通常会信任所看到的标记,并毫无疑问地执行这些标记。这一切都很好,直到这种功能被利用来达到不光彩的目的......自然,攻击者最终找到了利用这种倾向来达到其邪恶目的的方法。
跨站脚本利用浏览器的信任和用户的无知来窃取数据、接管账户和玷污网站;这是一个可以很快变得非常丑陋的漏洞。
让我们来看看 XSS 的工作原理、可能造成的危害以及如何防范:
XSS是如何工作的?
当未经信任的输入(通常是数据)在页面上被呈现为输出,但被误解为可执行代码时,XSS就会发生。攻击者可以在输入参数中放置恶意的可执行代码(HTML标签、JavaScript等),这些代码--当返回到浏览器时--被执行,而不是作为数据显示。
如上所述,该漏洞的出现是由于浏览器的核心运作行为,它很难区分数据和可执行代码。网络的运行模式如下。
- 用户访问一个网页
- 该页面告诉浏览器要加载哪些文件和执行哪些内容
- 浏览器执行页面上的内容,没有问题。
这种功能导致了我们在网络上享受的一些最棒的互动体验。硬币的另一面是,它也导致了代价高昂的利用和漏洞。
当攻击者将他们的恶意脚本添加到一个有漏洞的网站上时,它就会毫无疑问地被执行。没有更深入的调查,也没有到位的检测措施。
有三种类型的XSS。
- 存储的XSS
- 反映的XSS
- DOM XSS
存储的XSS发生在攻击者可以持续地将恶意脚本存储在应用程序的一个数据字段中(例如,在存储用户手机号码的字段)。然后,每次在应用程序中显示该数据字段时,这个草率的脚本就会被发送到用户的浏览器。
这种类型的攻击经常出现在论坛网站或评论引擎上。攻击者在评论中输入恶意脚本,然后砰--每个浏览该评论的用户都在不知不觉中执行了该脚本。
反射式XSS发生在用户输入被原样反射到用户的浏览器上。一个例子是搜索框在获取搜索结果时向用户显示 "您搜索了......"。
现在,想象一下,搜索是通过将搜索词作为查询参数放在URL中进行的。恶意攻击者可以向受害者发送一个链接,并在这些参数中嵌入恶意脚本,说实话,大多数网络用户几乎不会注意到它。
,受害者点击该链接并被重定向到一个钓鱼网站,在那里他/她不知不觉地输入了网站的密码。他们没有意识到,攻击者刚刚窃取了他们账户的钥匙。
DOM XSS是这种漏洞的一个相对新的种类。它利用了许多UI框架(如Angular和React)中的复杂模板结构。
这些模板允许动态内容和丰富的UI应用。如果使用不当,它们可以被用来执行XSS攻击。
所以,你有了它。你已经掌握了XSS的范围,简而言之。让我们更深入地了解它是如何被破坏性地使用的。
为什么XSS如此危险?
XSS可以被用来将用户重定向到恶意网站,窃取cookies和猎取会话数据。基本上,无论JavaScript能做什么,XSS攻击也能做到。
以下是三个XSS攻击的例子。
- 雅虎电子邮件用户在2015年使用XSS窃取了他们的会话cookie。
- Samy蠕虫病毒是通过MySpace的一个XSS漏洞传播的。它仍然是有史以来传播最快的恶意软件,在短短20小时内影响了100万用户。
- eBay允许在产品描述中包含恶意脚本。这导致了对eBay用户的XSS攻击。
XSS攻击具有欺骗性,而且非常严重。它们可以导致会话、用户凭证或敏感数据被盗。声誉受损和收入减少是这些攻击的主要隐患。
然而,XSS可以被像你一样精明的安全战士打败。修复方法并不复杂,自从XSS成为一个常用的攻击手段以来,这个行业已经走过了很长很长的路。
你可以打败XSS。
击败XSS的关键是理解上下文。具体来说,就是你的用户输入将被送回客户端的上下文,以及它将被送回的地方。
如果用户输入不必被送回浏览器,那就更好了。但如果是这样的话,往往应该进行HTML编码。对输出进行HTML编码将告诉浏览器按原样呈现内容,而不是执行它。
输入验证也很重要。然而,验证和白名单并不是 万无一失的解决方案。编码更进一步,阻止浏览器执行恶意脚本。
许多框架现在对HTML输出进行自动编码。
Angular、ASP.NET MVC和React.js是使用默认HTML编码的框架。你必须通过调用一个特殊的方法来告诉这些框架不要进行编码。
其他大多数框架(如Django和Spring)都有用于预防XSS的标准库,你可以很容易地将其纳入你的代码中。
最大的挑战是教会自己分析用户输入进入系统的所有方式,这样你就可以随时注意它了。查询参数可以携带攻击,职位参数也是如此。遵循整个应用程序的数据流,不要相信任何来自外部的数据。
像边境巡逻一样思考。停止每一个数据,检查它,如果它看起来是恶意的,就不允许它进入。然后在渲染时进行编码,以确保任何被遗漏的坏东西仍然不会造成问题。
执行这些策略,你的用户将不会受到XSS的攻击。看一下OWASP的Cheat Sheet,了解更多的提示,使你的数据得到控制。
挫败XSS并提高你的安全技能。
XSS在OWASP的2017年十大网络安全风险列表中位列第七。它已经存在了一段时间,但如果你不小心,它仍然可以出现并导致你的应用程序出现问题。
培训对于开发人员在编写代码时建立安全第一的心态非常重要。而且,当它模拟真实的应用程序,用开发人员积极使用的语言,培训总是最有效的。考虑到这一点,为什么不看看我们的学习资源,以了解更多关于XSS的信息?之后,你就可以开始培训和练习,从而达到掌握的目的。
你认为你现在已经准备好发现和修复XSS漏洞了吗? 挑战自己 Secure Code Warrior 平台上。
Cross-Site Scripting (XSS) nutzt das Vertrauen der Browser und die Unwissenheit der Benutzer, um Daten zu stehlen, Konten zu übernehmen und Websites zu verunstalten. Es handelt sich um eine Sicherheitslücke, die sehr schnell sehr hässlich werden kann. Schauen wir uns an, wie XSS funktioniert, welcher Schaden angerichtet werden kann und wie man ihn verhindern kann.
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
自 2000 年代初以来,跨站脚本 (XSS) 一直是安全专业人员的心头大患,遗憾的是,几十年过去了,它仍然是最常见的代码级威胁之一。这类软件漏洞已经困扰我们太久了,而CISA最近发出的警报--作为其 "按设计保证安全"运动的一部分--正试图一劳永逸地挫败它。他们肩负着大规模消除漏洞类的全球使命,这种对开发人员驱动型安全的关注确实能起到推动作用,但这需要精明的企业做出承诺,让他们的开发人员在安全方面取得成功。
那么,XSS 究竟是什么呢?
网页浏览器可能是我们访问网上所有精彩内容的门户,但遗憾的是,它并不都是好消息。网络浏览器的固有行为可能会成为安全漏洞的催化剂。浏览器一开始通常会信任所看到的标记,并毫无疑问地执行这些标记。这一切都很好,直到这种功能被利用来达到不光彩的目的......自然,攻击者最终找到了利用这种倾向来达到其邪恶目的的方法。
跨站脚本利用浏览器的信任和用户的无知来窃取数据、接管账户和玷污网站;这是一个可以很快变得非常丑陋的漏洞。
让我们来看看 XSS 的工作原理、可能造成的危害以及如何防范:
XSS是如何工作的?
当未经信任的输入(通常是数据)在页面上被呈现为输出,但被误解为可执行代码时,XSS就会发生。攻击者可以在输入参数中放置恶意的可执行代码(HTML标签、JavaScript等),这些代码--当返回到浏览器时--被执行,而不是作为数据显示。
如上所述,该漏洞的出现是由于浏览器的核心运作行为,它很难区分数据和可执行代码。网络的运行模式如下。
- 用户访问一个网页
- 该页面告诉浏览器要加载哪些文件和执行哪些内容
- 浏览器执行页面上的内容,没有问题。
这种功能导致了我们在网络上享受的一些最棒的互动体验。硬币的另一面是,它也导致了代价高昂的利用和漏洞。
当攻击者将他们的恶意脚本添加到一个有漏洞的网站上时,它就会毫无疑问地被执行。没有更深入的调查,也没有到位的检测措施。
有三种类型的XSS。
- 存储的XSS
- 反映的XSS
- DOM XSS
存储的XSS发生在攻击者可以持续地将恶意脚本存储在应用程序的一个数据字段中(例如,在存储用户手机号码的字段)。然后,每次在应用程序中显示该数据字段时,这个草率的脚本就会被发送到用户的浏览器。
这种类型的攻击经常出现在论坛网站或评论引擎上。攻击者在评论中输入恶意脚本,然后砰--每个浏览该评论的用户都在不知不觉中执行了该脚本。
反射式XSS发生在用户输入被原样反射到用户的浏览器上。一个例子是搜索框在获取搜索结果时向用户显示 "您搜索了......"。
现在,想象一下,搜索是通过将搜索词作为查询参数放在URL中进行的。恶意攻击者可以向受害者发送一个链接,并在这些参数中嵌入恶意脚本,说实话,大多数网络用户几乎不会注意到它。
,受害者点击该链接并被重定向到一个钓鱼网站,在那里他/她不知不觉地输入了网站的密码。他们没有意识到,攻击者刚刚窃取了他们账户的钥匙。
DOM XSS是这种漏洞的一个相对新的种类。它利用了许多UI框架(如Angular和React)中的复杂模板结构。
这些模板允许动态内容和丰富的UI应用。如果使用不当,它们可以被用来执行XSS攻击。
所以,你有了它。你已经掌握了XSS的范围,简而言之。让我们更深入地了解它是如何被破坏性地使用的。
为什么XSS如此危险?
XSS可以被用来将用户重定向到恶意网站,窃取cookies和猎取会话数据。基本上,无论JavaScript能做什么,XSS攻击也能做到。
以下是三个XSS攻击的例子。
- 雅虎电子邮件用户在2015年使用XSS窃取了他们的会话cookie。
- Samy蠕虫病毒是通过MySpace的一个XSS漏洞传播的。它仍然是有史以来传播最快的恶意软件,在短短20小时内影响了100万用户。
- eBay允许在产品描述中包含恶意脚本。这导致了对eBay用户的XSS攻击。
XSS攻击具有欺骗性,而且非常严重。它们可以导致会话、用户凭证或敏感数据被盗。声誉受损和收入减少是这些攻击的主要隐患。
然而,XSS可以被像你一样精明的安全战士打败。修复方法并不复杂,自从XSS成为一个常用的攻击手段以来,这个行业已经走过了很长很长的路。
你可以打败XSS。
击败XSS的关键是理解上下文。具体来说,就是你的用户输入将被送回客户端的上下文,以及它将被送回的地方。
如果用户输入不必被送回浏览器,那就更好了。但如果是这样的话,往往应该进行HTML编码。对输出进行HTML编码将告诉浏览器按原样呈现内容,而不是执行它。
输入验证也很重要。然而,验证和白名单并不是 万无一失的解决方案。编码更进一步,阻止浏览器执行恶意脚本。
许多框架现在对HTML输出进行自动编码。
Angular、ASP.NET MVC和React.js是使用默认HTML编码的框架。你必须通过调用一个特殊的方法来告诉这些框架不要进行编码。
其他大多数框架(如Django和Spring)都有用于预防XSS的标准库,你可以很容易地将其纳入你的代码中。
最大的挑战是教会自己分析用户输入进入系统的所有方式,这样你就可以随时注意它了。查询参数可以携带攻击,职位参数也是如此。遵循整个应用程序的数据流,不要相信任何来自外部的数据。
像边境巡逻一样思考。停止每一个数据,检查它,如果它看起来是恶意的,就不允许它进入。然后在渲染时进行编码,以确保任何被遗漏的坏东西仍然不会造成问题。
执行这些策略,你的用户将不会受到XSS的攻击。看一下OWASP的Cheat Sheet,了解更多的提示,使你的数据得到控制。
挫败XSS并提高你的安全技能。
XSS在OWASP的2017年十大网络安全风险列表中位列第七。它已经存在了一段时间,但如果你不小心,它仍然可以出现并导致你的应用程序出现问题。
培训对于开发人员在编写代码时建立安全第一的心态非常重要。而且,当它模拟真实的应用程序,用开发人员积极使用的语言,培训总是最有效的。考虑到这一点,为什么不看看我们的学习资源,以了解更多关于XSS的信息?之后,你就可以开始培训和练习,从而达到掌握的目的。
你认为你现在已经准备好发现和修复XSS漏洞了吗? 挑战自己 Secure Code Warrior 平台上。
自 2000 年代初以来,跨站脚本 (XSS) 一直是安全专业人员的心头大患,遗憾的是,几十年过去了,它仍然是最常见的代码级威胁之一。这类软件漏洞已经困扰我们太久了,而CISA最近发出的警报--作为其 "按设计保证安全"运动的一部分--正试图一劳永逸地挫败它。他们肩负着大规模消除漏洞类的全球使命,这种对开发人员驱动型安全的关注确实能起到推动作用,但这需要精明的企业做出承诺,让他们的开发人员在安全方面取得成功。
那么,XSS 究竟是什么呢?
网页浏览器可能是我们访问网上所有精彩内容的门户,但遗憾的是,它并不都是好消息。网络浏览器的固有行为可能会成为安全漏洞的催化剂。浏览器一开始通常会信任所看到的标记,并毫无疑问地执行这些标记。这一切都很好,直到这种功能被利用来达到不光彩的目的......自然,攻击者最终找到了利用这种倾向来达到其邪恶目的的方法。
跨站脚本利用浏览器的信任和用户的无知来窃取数据、接管账户和玷污网站;这是一个可以很快变得非常丑陋的漏洞。
让我们来看看 XSS 的工作原理、可能造成的危害以及如何防范:
XSS是如何工作的?
当未经信任的输入(通常是数据)在页面上被呈现为输出,但被误解为可执行代码时,XSS就会发生。攻击者可以在输入参数中放置恶意的可执行代码(HTML标签、JavaScript等),这些代码--当返回到浏览器时--被执行,而不是作为数据显示。
如上所述,该漏洞的出现是由于浏览器的核心运作行为,它很难区分数据和可执行代码。网络的运行模式如下。
- 用户访问一个网页
- 该页面告诉浏览器要加载哪些文件和执行哪些内容
- 浏览器执行页面上的内容,没有问题。
这种功能导致了我们在网络上享受的一些最棒的互动体验。硬币的另一面是,它也导致了代价高昂的利用和漏洞。
当攻击者将他们的恶意脚本添加到一个有漏洞的网站上时,它就会毫无疑问地被执行。没有更深入的调查,也没有到位的检测措施。
有三种类型的XSS。
- 存储的XSS
- 反映的XSS
- DOM XSS
存储的XSS发生在攻击者可以持续地将恶意脚本存储在应用程序的一个数据字段中(例如,在存储用户手机号码的字段)。然后,每次在应用程序中显示该数据字段时,这个草率的脚本就会被发送到用户的浏览器。
这种类型的攻击经常出现在论坛网站或评论引擎上。攻击者在评论中输入恶意脚本,然后砰--每个浏览该评论的用户都在不知不觉中执行了该脚本。
反射式XSS发生在用户输入被原样反射到用户的浏览器上。一个例子是搜索框在获取搜索结果时向用户显示 "您搜索了......"。
现在,想象一下,搜索是通过将搜索词作为查询参数放在URL中进行的。恶意攻击者可以向受害者发送一个链接,并在这些参数中嵌入恶意脚本,说实话,大多数网络用户几乎不会注意到它。
,受害者点击该链接并被重定向到一个钓鱼网站,在那里他/她不知不觉地输入了网站的密码。他们没有意识到,攻击者刚刚窃取了他们账户的钥匙。
DOM XSS是这种漏洞的一个相对新的种类。它利用了许多UI框架(如Angular和React)中的复杂模板结构。
这些模板允许动态内容和丰富的UI应用。如果使用不当,它们可以被用来执行XSS攻击。
所以,你有了它。你已经掌握了XSS的范围,简而言之。让我们更深入地了解它是如何被破坏性地使用的。
为什么XSS如此危险?
XSS可以被用来将用户重定向到恶意网站,窃取cookies和猎取会话数据。基本上,无论JavaScript能做什么,XSS攻击也能做到。
以下是三个XSS攻击的例子。
- 雅虎电子邮件用户在2015年使用XSS窃取了他们的会话cookie。
- Samy蠕虫病毒是通过MySpace的一个XSS漏洞传播的。它仍然是有史以来传播最快的恶意软件,在短短20小时内影响了100万用户。
- eBay允许在产品描述中包含恶意脚本。这导致了对eBay用户的XSS攻击。
XSS攻击具有欺骗性,而且非常严重。它们可以导致会话、用户凭证或敏感数据被盗。声誉受损和收入减少是这些攻击的主要隐患。
然而,XSS可以被像你一样精明的安全战士打败。修复方法并不复杂,自从XSS成为一个常用的攻击手段以来,这个行业已经走过了很长很长的路。
你可以打败XSS。
击败XSS的关键是理解上下文。具体来说,就是你的用户输入将被送回客户端的上下文,以及它将被送回的地方。
如果用户输入不必被送回浏览器,那就更好了。但如果是这样的话,往往应该进行HTML编码。对输出进行HTML编码将告诉浏览器按原样呈现内容,而不是执行它。
输入验证也很重要。然而,验证和白名单并不是 万无一失的解决方案。编码更进一步,阻止浏览器执行恶意脚本。
许多框架现在对HTML输出进行自动编码。
Angular、ASP.NET MVC和React.js是使用默认HTML编码的框架。你必须通过调用一个特殊的方法来告诉这些框架不要进行编码。
其他大多数框架(如Django和Spring)都有用于预防XSS的标准库,你可以很容易地将其纳入你的代码中。
最大的挑战是教会自己分析用户输入进入系统的所有方式,这样你就可以随时注意它了。查询参数可以携带攻击,职位参数也是如此。遵循整个应用程序的数据流,不要相信任何来自外部的数据。
像边境巡逻一样思考。停止每一个数据,检查它,如果它看起来是恶意的,就不允许它进入。然后在渲染时进行编码,以确保任何被遗漏的坏东西仍然不会造成问题。
执行这些策略,你的用户将不会受到XSS的攻击。看一下OWASP的Cheat Sheet,了解更多的提示,使你的数据得到控制。
挫败XSS并提高你的安全技能。
XSS在OWASP的2017年十大网络安全风险列表中位列第七。它已经存在了一段时间,但如果你不小心,它仍然可以出现并导致你的应用程序出现问题。
培训对于开发人员在编写代码时建立安全第一的心态非常重要。而且,当它模拟真实的应用程序,用开发人员积极使用的语言,培训总是最有效的。考虑到这一点,为什么不看看我们的学习资源,以了解更多关于XSS的信息?之后,你就可以开始培训和练习,从而达到掌握的目的。
你认为你现在已经准备好发现和修复XSS漏洞了吗? 挑战自己 Secure Code Warrior 平台上。
自 2000 年代初以来,跨站脚本 (XSS) 一直是安全专业人员的心头大患,遗憾的是,几十年过去了,它仍然是最常见的代码级威胁之一。这类软件漏洞已经困扰我们太久了,而CISA最近发出的警报--作为其 "按设计保证安全"运动的一部分--正试图一劳永逸地挫败它。他们肩负着大规模消除漏洞类的全球使命,这种对开发人员驱动型安全的关注确实能起到推动作用,但这需要精明的企业做出承诺,让他们的开发人员在安全方面取得成功。
那么,XSS 究竟是什么呢?
网页浏览器可能是我们访问网上所有精彩内容的门户,但遗憾的是,它并不都是好消息。网络浏览器的固有行为可能会成为安全漏洞的催化剂。浏览器一开始通常会信任所看到的标记,并毫无疑问地执行这些标记。这一切都很好,直到这种功能被利用来达到不光彩的目的......自然,攻击者最终找到了利用这种倾向来达到其邪恶目的的方法。
跨站脚本利用浏览器的信任和用户的无知来窃取数据、接管账户和玷污网站;这是一个可以很快变得非常丑陋的漏洞。
让我们来看看 XSS 的工作原理、可能造成的危害以及如何防范:
XSS是如何工作的?
当未经信任的输入(通常是数据)在页面上被呈现为输出,但被误解为可执行代码时,XSS就会发生。攻击者可以在输入参数中放置恶意的可执行代码(HTML标签、JavaScript等),这些代码--当返回到浏览器时--被执行,而不是作为数据显示。
如上所述,该漏洞的出现是由于浏览器的核心运作行为,它很难区分数据和可执行代码。网络的运行模式如下。
- 用户访问一个网页
- 该页面告诉浏览器要加载哪些文件和执行哪些内容
- 浏览器执行页面上的内容,没有问题。
这种功能导致了我们在网络上享受的一些最棒的互动体验。硬币的另一面是,它也导致了代价高昂的利用和漏洞。
当攻击者将他们的恶意脚本添加到一个有漏洞的网站上时,它就会毫无疑问地被执行。没有更深入的调查,也没有到位的检测措施。
有三种类型的XSS。
- 存储的XSS
- 反映的XSS
- DOM XSS
存储的XSS发生在攻击者可以持续地将恶意脚本存储在应用程序的一个数据字段中(例如,在存储用户手机号码的字段)。然后,每次在应用程序中显示该数据字段时,这个草率的脚本就会被发送到用户的浏览器。
这种类型的攻击经常出现在论坛网站或评论引擎上。攻击者在评论中输入恶意脚本,然后砰--每个浏览该评论的用户都在不知不觉中执行了该脚本。
反射式XSS发生在用户输入被原样反射到用户的浏览器上。一个例子是搜索框在获取搜索结果时向用户显示 "您搜索了......"。
现在,想象一下,搜索是通过将搜索词作为查询参数放在URL中进行的。恶意攻击者可以向受害者发送一个链接,并在这些参数中嵌入恶意脚本,说实话,大多数网络用户几乎不会注意到它。
,受害者点击该链接并被重定向到一个钓鱼网站,在那里他/她不知不觉地输入了网站的密码。他们没有意识到,攻击者刚刚窃取了他们账户的钥匙。
DOM XSS是这种漏洞的一个相对新的种类。它利用了许多UI框架(如Angular和React)中的复杂模板结构。
这些模板允许动态内容和丰富的UI应用。如果使用不当,它们可以被用来执行XSS攻击。
所以,你有了它。你已经掌握了XSS的范围,简而言之。让我们更深入地了解它是如何被破坏性地使用的。
为什么XSS如此危险?
XSS可以被用来将用户重定向到恶意网站,窃取cookies和猎取会话数据。基本上,无论JavaScript能做什么,XSS攻击也能做到。
以下是三个XSS攻击的例子。
- 雅虎电子邮件用户在2015年使用XSS窃取了他们的会话cookie。
- Samy蠕虫病毒是通过MySpace的一个XSS漏洞传播的。它仍然是有史以来传播最快的恶意软件,在短短20小时内影响了100万用户。
- eBay允许在产品描述中包含恶意脚本。这导致了对eBay用户的XSS攻击。
XSS攻击具有欺骗性,而且非常严重。它们可以导致会话、用户凭证或敏感数据被盗。声誉受损和收入减少是这些攻击的主要隐患。
然而,XSS可以被像你一样精明的安全战士打败。修复方法并不复杂,自从XSS成为一个常用的攻击手段以来,这个行业已经走过了很长很长的路。
你可以打败XSS。
击败XSS的关键是理解上下文。具体来说,就是你的用户输入将被送回客户端的上下文,以及它将被送回的地方。
如果用户输入不必被送回浏览器,那就更好了。但如果是这样的话,往往应该进行HTML编码。对输出进行HTML编码将告诉浏览器按原样呈现内容,而不是执行它。
输入验证也很重要。然而,验证和白名单并不是 万无一失的解决方案。编码更进一步,阻止浏览器执行恶意脚本。
许多框架现在对HTML输出进行自动编码。
Angular、ASP.NET MVC和React.js是使用默认HTML编码的框架。你必须通过调用一个特殊的方法来告诉这些框架不要进行编码。
其他大多数框架(如Django和Spring)都有用于预防XSS的标准库,你可以很容易地将其纳入你的代码中。
最大的挑战是教会自己分析用户输入进入系统的所有方式,这样你就可以随时注意它了。查询参数可以携带攻击,职位参数也是如此。遵循整个应用程序的数据流,不要相信任何来自外部的数据。
像边境巡逻一样思考。停止每一个数据,检查它,如果它看起来是恶意的,就不允许它进入。然后在渲染时进行编码,以确保任何被遗漏的坏东西仍然不会造成问题。
执行这些策略,你的用户将不会受到XSS的攻击。看一下OWASP的Cheat Sheet,了解更多的提示,使你的数据得到控制。
挫败XSS并提高你的安全技能。
XSS在OWASP的2017年十大网络安全风险列表中位列第七。它已经存在了一段时间,但如果你不小心,它仍然可以出现并导致你的应用程序出现问题。
培训对于开发人员在编写代码时建立安全第一的心态非常重要。而且,当它模拟真实的应用程序,用开发人员积极使用的语言,培训总是最有效的。考虑到这一点,为什么不看看我们的学习资源,以了解更多关于XSS的信息?之后,你就可以开始培训和练习,从而达到掌握的目的。
你认为你现在已经准备好发现和修复XSS漏洞了吗? 挑战自己 Secure Code Warrior 平台上。
%20(1).avif)
.avif)
