 |
onice涉网犯罪攻防/信息安全/渗透测试 V2EX 第 147683 号会员,加入于 2015-11-18 23:13:06 +08:00今日活跃度排名 2398 |
dearlance.cn
onice 最近回复了
2 小时 0 分钟前 回复了 yaott2020 创建的主题 › Linux › 你倾向于哪个 Linux 桌面发行版? |
Either ubuntu or linux mint.
3 小时 32 分钟前 回复了 Forviler 创建的主题 › JavaScript › 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下 |
@Forviler 攻击者也是我们的用户之一,,只不过是不怀好意的用户。所以,我们可以把攻击者看成是正常用户。那么,用户输入的数据,我们肯定不能破坏。例如用户输入 abc ,我们不能为了安全把数据改成 bcd 。所以,实体编码是个好办法。用户输入的数据,关键点在于攻击者输入的数据包含恶意代码,所以用实体编码我们既能让用户输入的数据原样显示在浏览器中,又能让即使是包含了恶意代码的数据不被浏览器解析。
那么我使用富文本的时候是必须要将数据当作代码来进行解析的,所以是不能进行实体编码的操作的么,因为浏览器会把它当作文本来显示。
至于富文本,你说得对,的确是这样子。富文本的业务场景下,我们必须要让浏览器解析用户输入的数据。所以实体编码后,富文本的输入数据不被解析,代码就会原封不动的显示在浏览器中。用户的格式设置就会失效,例如文本背景,字体加粗,图片等。
富文本的场景下宜采用白名单的方式。只允许用户输入特定的 HTML 标签,对用户的输入的数据要严格限制。
那么我使用富文本的时候是必须要将数据当作代码来进行解析的,所以是不能进行实体编码的操作的么,因为浏览器会把它当作文本来显示。
至于富文本,你说得对,的确是这样子。富文本的业务场景下,我们必须要让浏览器解析用户输入的数据。所以实体编码后,富文本的输入数据不被解析,代码就会原封不动的显示在浏览器中。用户的格式设置就会失效,例如文本背景,字体加粗,图片等。
富文本的场景下宜采用白名单的方式。只允许用户输入特定的 HTML 标签,对用户的输入的数据要严格限制。
22 小时 0 分钟前 回复了 Forviler 创建的主题 › JavaScript › 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下 |
@Forviler
针对你当前的场景:
document.getElementById('rf').innerHTML= `<img/src=1 >` ; edge 下会显示为文本
document.getElementById('rd').innerHTML = `<img/src=1 >`; edge 下显示为 标签
假如攻击者的代码为:<img/src=1 >,,你在代码中转为<img/src=1 >后,这就是消毒的操作。浏览器页面中会显示<img/src=1 >,但其实浏览器把显示的<img/src=1 >当成<img/src=1 >处理。这么一来,浏览器就不会真的把这串代码当成 img 标签进行渲染了。这样既能够不破坏用户输入的数据,又能够保障代码的安全(不被解析成 js 代码)。
document.getElementById('rd').innerHTML = `<img/src=1 >`; edge 下显示为 标签
这个就是危险的。假如攻击者的攻击代码为:<img/src=1 onerror="alert(xss)">,,由于没有进行编码,这个代码会被当成 js 处理,,浏览器会加载图片,但由于 url 不存在,图片加载失败,触发 onerror 事件,执行 alert 弹窗代码。当然这里仅仅是测试,alert 并不具备危害。但是如果 alert 是窃取 cookie 的代码,这可就危险了。
针对你当前的场景:
document.getElementById('rf').innerHTML= `<img/src=1 >` ; edge 下会显示为文本
document.getElementById('rd').innerHTML = `<img/src=1 >`; edge 下显示为 标签
假如攻击者的代码为:<img/src=1 >,,你在代码中转为<img/src=1 >后,这就是消毒的操作。浏览器页面中会显示<img/src=1 >,但其实浏览器把显示的<img/src=1 >当成<img/src=1 >处理。这么一来,浏览器就不会真的把这串代码当成 img 标签进行渲染了。这样既能够不破坏用户输入的数据,又能够保障代码的安全(不被解析成 js 代码)。
document.getElementById('rd').innerHTML = `<img/src=1 >`; edge 下显示为 标签
这个就是危险的。假如攻击者的攻击代码为:<img/src=1 onerror="alert(xss)">,,由于没有进行编码,这个代码会被当成 js 处理,,浏览器会加载图片,但由于 url 不存在,图片加载失败,触发 onerror 事件,执行 alert 弹窗代码。当然这里仅仅是测试,alert 并不具备危害。但是如果 alert 是窃取 cookie 的代码,这可就危险了。
22 小时 10 分钟前 回复了 Forviler 创建的主题 › JavaScript › 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下 |
@Forviler
@onice
再补充下另一本书:web 安全深度剖析,,这本书篇幅短一些。条例比白帽子讲 web 安全清晰一些。建议优先看这本。
只看 XSS 章节即可。
链接: https://pan.baidu.com/s/16s19_V5p3V-bMjsLtZLZMg?pwd=mhxz
提取码:mhxz
@onice
再补充下另一本书:web 安全深度剖析,,这本书篇幅短一些。条例比白帽子讲 web 安全清晰一些。建议优先看这本。
只看 XSS 章节即可。
链接: https://pan.baidu.com/s/16s19_V5p3V-bMjsLtZLZMg?pwd=mhxz
提取码:mhxz
22 小时 21 分钟前 回复了 Forviler 创建的主题 › JavaScript › 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下 |
@Forviler 是这样子。XSS 的本质,是浏览器解析了攻击者插入到页面中的 JS 代码,,而这些代码恰好是恶意的,例如窃取用户 cookie 。
通过实体编码,我们就可以让攻击者插入的 js 代码原样显示在浏览器中,浏览器会显示尖括号,但并不会解析这些 js 代码。当然,浏览器中显示的是尖括号,但在代码层面,已经被处理为<之类的编码了。
对于大部分前端框架,例如 Vue 和 React ,默认就对 xss 进行防护了。当然, 除非你使用 v-html ,而通过 v-html 渲染的值,用户可以控制。
对于 Java 后端来说,,防御 XSS 的方法也很简单,加一个过滤器即可。把从前端传过来的所有数据,进行判断,如果发现尖括号等敏感的字符,就进行编码,例如转为:<
转换后的数据就是安全的了,转换后方可入库。
XSS 漏洞主要是危害用户的安全,XSS 往往导致用户的登录凭证被窃取,并不危害网站服务器。
大多数时候,XSS 都被划分为低危漏洞。
我上面说得可能也不是很详细,要不你参考下白帽子讲 web 安全,第三章 XSS 的部分。
XSS 漏洞很容易理解,是属于 web 漏洞中比较简单的。
书籍链接为:
链接: https://pan.baidu.com/s/1cmMkJH2_9I16A9DODUt5tg?pwd=xwld
提取码:xwld
通过实体编码,我们就可以让攻击者插入的 js 代码原样显示在浏览器中,浏览器会显示尖括号,但并不会解析这些 js 代码。当然,浏览器中显示的是尖括号,但在代码层面,已经被处理为<之类的编码了。
对于大部分前端框架,例如 Vue 和 React ,默认就对 xss 进行防护了。当然, 除非你使用 v-html ,而通过 v-html 渲染的值,用户可以控制。
对于 Java 后端来说,,防御 XSS 的方法也很简单,加一个过滤器即可。把从前端传过来的所有数据,进行判断,如果发现尖括号等敏感的字符,就进行编码,例如转为:<
转换后的数据就是安全的了,转换后方可入库。
XSS 漏洞主要是危害用户的安全,XSS 往往导致用户的登录凭证被窃取,并不危害网站服务器。
大多数时候,XSS 都被划分为低危漏洞。
我上面说得可能也不是很详细,要不你参考下白帽子讲 web 安全,第三章 XSS 的部分。
XSS 漏洞很容易理解,是属于 web 漏洞中比较简单的。
书籍链接为:
链接: https://pan.baidu.com/s/1cmMkJH2_9I16A9DODUt5tg?pwd=xwld
提取码:xwld
1 天前 回复了 Forviler 创建的主题 › JavaScript › 今天被测试发了一个 xss 漏洞,之前明明做过 xss 过滤的,很纳闷的看了一下 |
防御 xss 最正确的方法是实体编码,而不是黑白名单过滤。
请参阅: https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
请参阅: https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
2 天前 回复了 future9910242022 创建的主题 › 生活 › 请教一下:南方有哪些地方适合躺平半年。气候好点的 |
四川可以考虑下攀枝花,同学在那边,说是一年四季都像春天一样。
2 天前 回复了 garlics 创建的主题 › 程序员 › 阿里云 2G 内存的服务器实际只有 1.65G? |
操作系统会保留一部分内存。你使用 lsmem 命令查看。
4 天前 回复了 trokix 创建的主题 › English › 学英语语法有啥好书推荐呢 |
最近我也在学语法,看的 B 站 up 主 Larry 想做技术大佬的语法课。
6 天前 回复了 zjt666666zjt 创建的主题 › 程序员 › 大二学生求教 |
B 站千峰,黑马,入门视频看起来。
Select Language