當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

跨站腳本攻擊的危害及cookie盜竊

http://www.yibo1263.com　2009-7-3 8:23:17 　來源:東北IT網(wǎng) 　編輯:葉子

對數(shù)據(jù)進(jìn)行正確地轉(zhuǎn)義處理，以保證它們不會被解釋為HTML代碼（對瀏覽器而言）或者XML代碼（對Flash而言）。

刪除會被惡意使用的字符串或者字符

一般情況下，刪除一些字符會對用戶體驗(yàn)造成影響，舉例來說，如果開發(fā)人員刪除了上撇號(’)，那么對某些人來說就會帶來不便，如姓氏中帶有撇號的人，他們的姓氏就無法正常顯示。同時，嚴(yán)禁開發(fā)人員刪除字符串，因?yàn)橥耆梢酝ㄟ^許多不同的形式來表示字符串。應(yīng)用程序和瀏覽器會對字符串作出不同的解釋。例如，SAMY蠕蟲利用了IE不把換行符作為定界符字符這一事實(shí)，因此，IE看來JavaScript和jav%0dascr%0dipt是一回事。遺憾的是，MySpace把換行符解釋為字的分界符號，并允許將向Samy(及其他人)的MySpace頁面中放入下列內(nèi)容：

〈 div id="mycode" expr="a_lert('1')" style="background:url('java

script:eval(document.all.mycode.expr)')"〉〈/div〉

我們建議對所有用戶提供的又被發(fā)回給Web瀏覽器的數(shù)據(jù)都進(jìn)行轉(zhuǎn)義處理，包括AJAX調(diào)用、移動式應(yīng)用、Web頁面、重定向等等內(nèi)的數(shù)據(jù)。然而，對字符串進(jìn)行轉(zhuǎn)義處理并不是我們想得那么簡單：您必須根據(jù)用戶提供的數(shù)據(jù)將被放到HTTP應(yīng)答中的具體位置來決定使用URL編碼、HTML實(shí)體編碼或者JavaScript編碼進(jìn)行轉(zhuǎn)義。

十、防范基于UTF-7的XSS

基于UTF-7的攻擊是很容易防范的，只要強(qiáng)制指定在HTTP報頭中的或者HTML響應(yīng)內(nèi)部的字符編碼即可。我們建議對默認(rèn)HTTP報頭做如下設(shè)置：

Content-Type: text ml; charset=utf-8

還應(yīng)當(dāng)對全部HTML響應(yīng)添加下列限制：

< meta http-equiv="Content-Type" content="text ml;charset=utf-8" >

十一、結(jié)束語

在瀏覽器中已經(jīng)建立了一些安全措施——即同源策略和Cookie安全模型。此外，一些瀏覽器插件，諸如Flash Player、Outlook Express 以及Acrobat Reader等，帶來了更多的安全問題和安全措施。然而，如果攻擊者可以強(qiáng)迫用戶執(zhí)行源自特定域的JavaScript的話，這些額外的安全措施總是傾向于削弱同源策略的力量。

跨站點(diǎn)腳本攻擊（XSS）技術(shù)能夠強(qiáng)迫用戶執(zhí)行攻擊者以受害者名義在某個域上選擇的腳本，如JavaScript、VBScript、ActionScript，等等。XSS要求某個域上的Web應(yīng)用程序能夠提供（即供應(yīng)、返回）被攻擊者所控制的字符。因此，攻擊者可以向頁面注入代碼，而這些代碼將來會在這個有弱點(diǎn)的域的上下文中執(zhí)行。本文詳細(xì)介紹跨站腳本的危害，以及攻擊者是如何誘騙受害者的。最后介紹針對跨站腳本攻擊的防御措施。至此，讀者已經(jīng)能夠?qū)缯灸_本攻擊有一個全面深入的了解了。

本新聞共4頁,當(dāng)前在第4頁 1 2 3 4

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·杜絕Cookie傳送提高網(wǎng)站訪問速度

·三種禁用Cookie的方法讓上網(wǎng)更安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费