xss和csrf

XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
现在大多数框架已经帮我们预防了xss的攻击

1
<input type="text" name="address1" value="value1from">

用户输入的是 “onfocus=”alert(document.cookie) 那么就会变成

1
<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行
攻击的威力,取决于用户输入了什么样的脚本
当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图

xss漏洞修复

  1. 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
  2. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
  3. 对数据进行Html Encode 处理
  4. 过滤或移除特殊的Html标签, 例如: 
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    5. 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

    ![](http://omsnlkyep.bkt.clouddn.com/1987391165.gif)
    ```php
    <?PHP
    /**
     * @blog http://www.phpddt.com
     * @param $string
     * @param $low 安全别级低
     */
    function clean_xss(&$string, $low = False)
    {
    	if (! is_array ( $string ))
    	{
    		$string = trim ( $string );
    		$string = strip_tags ( $string );
    		$string = htmlspecialchars ( $string );
    		if ($low)
    		{
    			return True;
    		}
    		$string = str_replace ( array ('"', "\\", "'", "/", "..", "../", "./", "//" ), '', $string );
    		$no = '/%0[0-8bcef]/';
    		$string = preg_replace ( $no, '', $string );
    		$no = '/%1[0-9a-f]/';
    		$string = preg_replace ( $no, '', $string );
    		$no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';
    		$string = preg_replace ( $no, '', $string );
    		return True;
    	}
    	$keys = array_keys ( $string );
    	foreach ( $keys as $key )
    	{
    		clean_xss ( $string [$key] );
    	}
    }
    //just a test
    $str = 'phpddt.com<meta http-equiv="refresh" content="0;">';
    clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
    echo $str;
    ?>
1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
if (isset($_POST['name'])){
	$str = trim($_POST['name']);  //清理空格
	$str = strip_tags($str);   //过滤html标签
	$str = htmlspecialchars($str);   //将字符内容转化为html实体
	$str = addslashes($str);
	echo $str;
}
?>
<form method="post" action="">
<input name="name" type="text">
<input type="submit" value="提交" >
</form>

CSRF

CSRF漏洞一般分为站外和站内两种类型。
CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
  4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

现在大多数框架都有csrf的防护,如laravel或者TP

本文标题:xss和csrf

文章作者:wenqing

发布时间:2017-03-14, 15:24:44

最后更新:2018-08-27, 14:51:25

原始链接:http://yoursite.com/2017/03/14/xss和csrf/

许可协议: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

文章目录
  1. 1. xss漏洞修复
  2. 2. CSRF
|