参考:为什么cookie会有httponly属性?真实案例解释XSS的三种攻击
XSS:hacker往HTML中注入恶意脚本,浏览器是无法区分脚本是被恶意注入的还是正常的页面脚本,所以恶意注入 JavaScript 脚本也拥有所有的脚本权限。
一、恶意脚本都能做哪些事情?
1.窃取用户的cookie信息,模拟用户的登录,用用户的账号进行操作
2.监听用户在页面上的操作,比如键盘上键入的字符串,从而窃取用户的密码。
3.更改DOM结构,添加浮窗广告
二、xss攻击有三种类型
1.存储型
将恶意代码提交到网站的数据库中,用户访问该页面时,恶意脚本就会将用户的cookie信息 上传到另外的恶意服务器上。
2.反射型
hacker需要找到一个接口漏洞——用户给服务器发送的一些参数,服务器没有经过处理,直接原封不动返回部分参数。黑客会利用这个漏洞,把恶意脚本当参数发给服务器,服务器直接返回了这个脚本字符串,在浏览器DOM解析器中就顺利引入恶意脚本达成hack。
存储型XSS和反射型XSS的区别:1. 反射型XSS不会在服务器上存储脚本 ;2.脚本运行的条件不同,存储型只要用户正常访问网页就会触发,反射型则需要用户点击包含漏洞的URL。
3.基于DOM的XSS攻击
一般来说,hacker是劫持不了正常的传输网络,但如果有内鬼能通过中间人代理劫持HTML传输,就可以修改HTML文件,在其中任意穿插恶意脚本,再发送给用户。这种情况会出现在运营商中间。
三、如何预防?
1.存储型和反射型都是服务器没有严格检测用户的输入数据。可以通过给用户的输入做过滤来预防。
2.基于DOM的攻击,可以使用HTTPS进行传输,就可以避免中间人修改HTML文件了。
3.充分利用CSP:
(1)限制加载其他域下的资源文件
(2)禁止向第三方域提交数据
(3)禁止执行内联脚本和未授权脚本。提供上报机制,帮助我们尽快发现有哪些XSS攻击,以便尽快修复问题
4.使用HttpOnly属性,避免js脚本操作cookie。即使被注入了恶意脚本,也是无法获取到设置了httpOnly的数据。响应头里可以设置HttpOnly。
5.添加验证码防止脚本冒充用户提交危险操作。
6.对于一些不受信任的输入,还可以限制其输入长度。
网友评论