怎么分析反射型XSS

1、反射型 XSS

反射型 XSS 是指应用程序通过 Web 请求获取不可信赖的数据,在未检验数据是否存在恶意代码的情况下,便将其传送给了 Web 用户。反射型 XSS 一般由攻击者构造带有恶意代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行,它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。小编以 JAVA 语言源代码为例,分析 CWE ID 80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)

2、 反射型 XSS 的危害

当用户访问一个带有 XSS 代码的 URL 请求时,服务器端接收数据后处理,然后把带有 XSS 代码的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,造成 XSS 漏洞,可能导致窃取目标网站的 Cookie 到攻击者的服务器上,读取用户未公开的资料或Click劫持实施钓鱼攻击等。从2018年1月至11月,CVE 中共有126条漏洞信息与其相关。部分漏洞如下:

CVE 漏洞概述
CVE-2018-19091 tianti 是一款使用 Java 编写的免费的轻量级 CMS 系统,目前提供了从后台管理到前端展现的整体解决方案。其中 tianti 2.3 通过 tianti-module-admin / user /list userName 参数在用户管理模块中存在反射型 XSS 漏洞。
CVE-2018-14929 Matera Banco 1.0.0 容易受到多个反射型 XSS 的影响,正如 /contingency/web/index.jsp(又名主页)url 参数所示。
CVE-2018-12996 ZohoManageEngine Applications Manager 提供了监视和管理 J2EE 底层结构、J2EE应用的解决方案。在 Zoho ManageEngine Applications Manager 13(Build13800)中反射型跨站脚本(XSS)漏洞允许远程攻击者通过参数 ‘method’ 向GraphicalView.do 注入任意 Web 脚本或 HTML。
CVE-2018-12090 LAMS 是由澳大利亚 Macquarie 大学,LAMS 国际有限公司和 LAMS 基金会联合开发出来的一个基于 JAVA 的新一代学习软件。在 3.1 之前的 LAMS 中存在未经身份验证的反射型跨站脚本(XSS),允许远程攻击者在 forgetPasswordChange.jsp?key = 密码更改期间通过操作未经过规范的 GET 参数来引入任意 JavaScript。

3、示例代码

示例源于Samate Juliet Test Suite for Java v1.3 (https://samate.nist.gov/SARD/testsuite.php),源文件名:CWE80_XSS__CWE182_Servlet_URLConnection_03.java。

3.1缺陷代码

怎么分析反射型XSS怎么分析反射型XSS

上述示例代码操作是获取用户的年龄,在第40行创建连接对象,在第44行创建输入流获得urlConnection对象响应的内容,在第52行从缓冲流中读取一行数据,在第100行中,将获得的数据去除所有的<script>标签并向页面输出处理后的数据,即使过滤了<script>标签,但仍然可以使用其他html标签,在这里构造了恶意的url,但网站未做防护时,页面会读取到document.cookie的内容并输入到页面。这样就造成了反射型 XSS。

使用360代码卫士对上述示例代码进行检测,可以检出“反射型XSS”缺陷,显示等级为高。从跟踪路径中可以分析出数据的污染源以及数据流向,在代码行第100行报出缺陷,如图1所示:

怎么分析反射型XSS图1:反射型 XSS 检测示例

3.2 修复代码

怎么分析反射型XSS

在上述修复代码中,由于页面输出的内容为用户的年龄,在第96行,对响应的内容转换为数字,这样就过滤了其它 html 的字符,即使存在字符,代码会报出异常,并不会造成反射型 XSS 的发生。

使用360代码卫士对修复后的代码进行检测,可以看到已不存在“反射型XSS”缺陷。如图2:

怎么分析反射型XSS

图2:修复后检测结果

4 、如何避免反射型 XSS

要避免反射型 XSS,需要注意以下几点:

(1) 对用户的输入进行合理验证(如年龄只能是数字),对特殊字符(如 <、>、’、”等)以及<script>javascript 等进行过滤。

(2) 根据数据将要置于 HTML 上下文中的不同位置(HTML 标签、HTML 属性、JavaScript 脚本、CSS、URL),对所有不可信数据进行恰当的输出编码。

(3) 设置HttpOnly属性,避免攻击者利用XSS漏洞进行Cookie劫持攻击。在 JavaEE 中,给Cookie添加HttpOnly的代码如下:

怎么分析反射型XSS

看完上述内容,你们对怎么分析反射型XSS有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注亿速云行业资讯频道,感谢大家的支持。

文章标题:怎么分析反射型XSS,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/27321

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月20日 上午12:17
下一篇 2022年9月20日 上午12:18

相关推荐

  • HTML可不可以美化网页

    HTML不可以美化网页。HTML是用来定义网页内容的,例如标题、正文、图像等,它是无法美化网页的;美化网页需要使用CSS,CSS是样式语言,主要用来控制网页的外观,例如颜色、字体、背景等。CSS能够对网页中的对象的位置排版进行像素级的精确控制,支持几乎所有的字体字号样式,拥有对网页对象和模型样式编辑…

    2022年9月24日
    76100
  • 关于sqlmap的问题怎么分析

    0x00 概述 近日在利用sqlmap注入测试时遇到一个奇怪的现象,高版本sqlmap无法检测出注入,但是低版本的可以测出注入,并且能跑出数据不是误报,经过对比测试和查看sqlmap源码,发现两个小坑。 0x01 情景重现 注入点形式:json……”whereparams”:[{“name”:”ke…

    2022年9月21日
    73800
  • mdf文件打开方法是什么

    mdf文件怎么开: 如果mdf是镜像文件,我们需要虚拟光驱进行加载,下载并安装Daemon Tools虚拟光驱软件,打开就行了。 如果mdf是数据库文件,我们需要使用SQLServer管理工具进行打开,打开后点击文件,选择导入连接,选择需要打开的mdf文件 1、找到要打开的数据库文件 2、该数据库文…

    2022年9月8日
    2.3K00
  • windows安装不了qq游戏如何解决

    qq游戏安装不了解决方法: 方法一: 1、首先确认我们电脑里之前有没有安装过qq游戏。 2、如果之前安装过,需要先将之前的qq游戏给卸载。 3、如果没有安装过,可能是下载的安装包有问题。 4、我们可以去官网下载或者点击右边链接重新下载安装。 5、如果我们正在使用360等安全软件的话,尝试将这些软件都…

    2022年8月29日
    89900
  • python解析之namedtuple函数怎么使用

    源码解释: def namedtuple(typename, field_names, *, rename=False, defaults=None, module=None): “””Returns a new subclass of tuple with named fields. >&g…

    2022年9月1日
    71600
  • XML外部实体注入漏洞的示例分析

    一、XML外部实体注入 XML 外部实体注入漏洞也就是我们常说的 XXE 漏洞。XML 作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理 xml 数据的代码,默认情况下,许多过时的或配置不当的 XML 处理器都会对外部实体进行引用。 如果攻击者可以上传 XML 文档或者在 XML 文档中…

    2022年9月20日
    1.1K00
  • Qt如何实现数据查询导出打印

    效果图 相关代码 void DataHelper::dataout(const QString &fileName, const QString &sheetName, const QString &title, const QList<QString> &amp…

    2022年9月6日
    69000
  • windows中360桌面助手如何整理桌面

    360桌面助手整理桌面方法: 1、首先打开自己的桌面选择空白处右击。 2、然后在弹出的菜单中点击“桌面助手”。 3、之后选择右侧菜单中的“一键整理桌面”。 4、最后就可以将桌面全部的整理完成了。 感谢各位的阅读,以上就是“windows中360桌面助手如何整理桌面”的内容了,经过本文的学习后,相信大…

    2022年8月31日
    63900
  • windows驱动精灵ahci驱动怎么安装

    驱动精灵ahci驱动: 答:驱动精灵是无法安装ahci驱动的。 在硬盘IDE模式下是无法发现achi驱动的,所以无法安装。 而改成ata模式也会造成蓝屏。 ahci驱动安装方法: 1、按下“win+r”打开运行,输入 regedit。 2、依次打开 HKEY_LOCAL_MAHCINESystemC…

    2022年9月10日
    90900
  • win10自带的onenote是什么版本

    win10自带的onenote是UWP版本;onenote是一套用于自由形式的信息获取以及多用户协作工具,而UWP版本是“Universal Windows Platform”的简称,表示windows通用应用平台,不是为特定的终端设计的,而是针对使用windows系统的各种平台。 本教程操作环境:…

    2022年9月18日
    68400
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部