怎么分析反射型XSS

1、反射型 XSS

反射型 XSS 是指应用程序通过 Web 请求获取不可信赖的数据,在未检验数据是否存在恶意代码的情况下,便将其传送给了 Web 用户。反射型 XSS 一般由攻击者构造带有恶意代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行,它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。小编以 JAVA 语言源代码为例,分析 CWE ID 80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)

2、 反射型 XSS 的危害

当用户访问一个带有 XSS 代码的 URL 请求时,服务器端接收数据后处理,然后把带有 XSS 代码的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,造成 XSS 漏洞,可能导致窃取目标网站的 Cookie 到攻击者的服务器上,读取用户未公开的资料或Click劫持实施钓鱼攻击等。从2018年1月至11月,CVE 中共有126条漏洞信息与其相关。部分漏洞如下:

CVE 漏洞概述
CVE-2018-19091 tianti 是一款使用 Java 编写的免费的轻量级 CMS 系统,目前提供了从后台管理到前端展现的整体解决方案。其中 tianti 2.3 通过 tianti-module-admin / user /list userName 参数在用户管理模块中存在反射型 XSS 漏洞。
CVE-2018-14929 Matera Banco 1.0.0 容易受到多个反射型 XSS 的影响,正如 /contingency/web/index.jsp(又名主页)url 参数所示。
CVE-2018-12996 ZohoManageEngine Applications Manager 提供了监视和管理 J2EE 底层结构、J2EE应用的解决方案。在 Zoho ManageEngine Applications Manager 13(Build13800)中反射型跨站脚本(XSS)漏洞允许远程攻击者通过参数 ‘method’ 向GraphicalView.do 注入任意 Web 脚本或 HTML。
CVE-2018-12090 LAMS 是由澳大利亚 Macquarie 大学,LAMS 国际有限公司和 LAMS 基金会联合开发出来的一个基于 JAVA 的新一代学习软件。在 3.1 之前的 LAMS 中存在未经身份验证的反射型跨站脚本(XSS),允许远程攻击者在 forgetPasswordChange.jsp?key = 密码更改期间通过操作未经过规范的 GET 参数来引入任意 JavaScript。

3、示例代码

示例源于Samate Juliet Test Suite for Java v1.3 (https://samate.nist.gov/SARD/testsuite.php),源文件名:CWE80_XSS__CWE182_Servlet_URLConnection_03.java。

3.1缺陷代码

怎么分析反射型XSS怎么分析反射型XSS

上述示例代码操作是获取用户的年龄,在第40行创建连接对象,在第44行创建输入流获得urlConnection对象响应的内容,在第52行从缓冲流中读取一行数据,在第100行中,将获得的数据去除所有的<script>标签并向页面输出处理后的数据,即使过滤了<script>标签,但仍然可以使用其他html标签,在这里构造了恶意的url,但网站未做防护时,页面会读取到document.cookie的内容并输入到页面。这样就造成了反射型 XSS。

使用360代码卫士对上述示例代码进行检测,可以检出“反射型XSS”缺陷,显示等级为高。从跟踪路径中可以分析出数据的污染源以及数据流向,在代码行第100行报出缺陷,如图1所示:

怎么分析反射型XSS图1:反射型 XSS 检测示例

3.2 修复代码

怎么分析反射型XSS

在上述修复代码中,由于页面输出的内容为用户的年龄,在第96行,对响应的内容转换为数字,这样就过滤了其它 html 的字符,即使存在字符,代码会报出异常,并不会造成反射型 XSS 的发生。

使用360代码卫士对修复后的代码进行检测,可以看到已不存在“反射型XSS”缺陷。如图2:

怎么分析反射型XSS

图2:修复后检测结果

4 、如何避免反射型 XSS

要避免反射型 XSS,需要注意以下几点:

(1) 对用户的输入进行合理验证(如年龄只能是数字),对特殊字符(如 <、>、’、”等)以及<script>javascript 等进行过滤。

(2) 根据数据将要置于 HTML 上下文中的不同位置(HTML 标签、HTML 属性、JavaScript 脚本、CSS、URL),对所有不可信数据进行恰当的输出编码。

(3) 设置HttpOnly属性,避免攻击者利用XSS漏洞进行Cookie劫持攻击。在 JavaEE 中,给Cookie添加HttpOnly的代码如下:

怎么分析反射型XSS

看完上述内容,你们对怎么分析反射型XSS有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注亿速云行业资讯频道,感谢大家的支持。

文章标题:怎么分析反射型XSS,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/27321

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年9月20日 上午12:17
下一篇 2022年9月20日 上午12:18

相关推荐

  • 如何进行越南APT攻击样本的深度分析

    一、前言 APT已经成为了安全领域热门的话题。 Eleven Paths旗下Innovación y laboratorio 4月发表《Docless Vietnam APT》报告: 上述信息表述,我们侦测到一些恶意邮件发送到属于越南政府的邮箱,这封越南语邮件的日期是2019年3月13号。这封邮件…

    2022年9月21日
    17900
  • Input标签自动校验功能去除怎么实现

    自动校验 注:以下输入框包含input、textarea 事情是这样的,上个星期,接到了一个需求,要求去除掉项目中的输入框的自动拼写检查功能,也就是下图出现的红线,这个检查是浏览器自带的 解决方法 其实是有解决方法的,而且也不难,很简单,只需要在输入框标签上加上一个属性spellcheck=fals…

    2022年9月20日
    21700
  • 基于签名算法且简单安全的API授权机制是什么

    笔者以前在做广告系统时发现对接的大多数平台的广告系统都是以token方式授权接口,而且这个token是一直不变的,由广告主提供,可以说这就是裸奔的接口,只不过这种接口对安全性要求不高,这只能防止恶意调用以及验证渠道的身份。 去年笔者写过一个API统一授权平台,为内部服务开放接口给第三方系统调用提供统…

    2022年9月8日
    13500
  • 怎么使用CSS混合模式让文字智能适配背景颜色

    页面上有一段文本,能否实现这段文本在不同背景色下展示不同的颜色?也就是俗称的智能变色。像是下面这样: 文本在黑色底色上表现为白色,在白色底色上表现为黑色。看似很复杂的一个效果,但是其实在 CSS 中非常好实现,今天就介绍这样一个小技巧,在 CSS 中,利用混合模式 mix-blend-mode: d…

    2022年9月8日
    10000
  • MybatisPlus查询条件为空字符串或null怎么解决

    今天分享文章“MybatisPlus查询条件为空字符串或null怎么解决”,主要从:问题描述、解决办法、eq()等几个方面为大家介绍,希望能帮到您。 查询条件为空字符串或null问题 问题描述 工作种当使用mybatisplus框架进行条件查询时,会出现参数为空字符串或者null也走查询条件,写一篇…

    2022年6月29日
    3.0K00
  • mysql查询视图命令是哪个

    mysql查询视图命令是“DESCRIBE”或者“SHOW CREATE VIEW”。DESCRIBE命令可以查看视图的字段信息,语法为“DESCRIBE 视图名;”,可简写为“DESC 视图名;”;而“SHOW CREATE VIEW”命令可以查看视图的详细信息,语法为“SHOW CREATE V…

    2022年9月18日
    11300
  • windows会声会影如何导出视频x9

    会声会影导出视频x9的方法 1、首先点击图示位置的“共享”按钮。 2、然后在图示框中选择想要导出的视频格式。 3、在图示位置可以调整具体参数。 4、最后点击“开始”就可以了。 以上就是“windows会声会影如何导出视频x9”这篇文章的所有内容,感谢各位的阅读!相信大家阅读完这篇文章都有很大的收获,…

    2022年9月15日
    6400
  • Python怎么使用sqlite3第三方库读写SQLite数据库

    1 数据概览 学生课程成绩:studentID、name、english、chinese、math,存在一定缺失值 2 任务定义 基于学生课程成绩文件,使用pandas和sqlite3将学生信息输入SQLite数据库,请在完成对应数据库操作后分析学生课程成绩信息,计算各科目平均分并给出总分排名。 3…

    2022年9月21日
    18300
  • cad字体如何添加进去

    cad字体添加进去的方法 1、首先右键CAD的图标,找到属性点击。 2、然后切换到快捷方式栏目。 3、然后打开文件所在的位置。 4、找到Fonts文件夹。 5、Fonts文件夹就是CAD的字体库了; 如果需要添加字体,只需要把下载下来的字体文件复制进这个文件夹就可以了。 到此,相信大家对“cad字体…

    2022年9月15日
    8400
  • ECharts如何打印数据

    ECharts打印数据的方法 一、 首先我们要做的,就是在Echarts图标上方定义一个img 1 <!–startprint–>2 <img src=”” id=”printImg” style=&#8221…

    2022年9月26日
    11100
联系我们
站长微信
站长微信
分享本页
返回顶部