浅析跨站脚本的攻击与防御.pdfVIP

竺竺竺 ／ 浅析跨站脚本的攻击与防御 张跃华 ． 王长春 (太原理工大学阳泉学院，阳泉 045000) 摘 要 ：跨站脚本攻击是 目~-Web安全中最为常用攻击手段之一．跨站脚本漏洞发生在程序直 接把 用户的数据发送到网络浏览器的时候，由于没有确认和编译这些 内容，从而在浏览 器 中执行恶意的脚本 。黑客还把跨站脚本与别的网络攻击相结合 。造成更大的危害。通 过对跨站脚本攻击原理 的分析 ，给 出了一些防御方法。 关键词 ：HTML；跨站脚本 ：防御 0 引 言 SRC=”javascript：alert(XSS)；”I引。所 以XSS的触发条 件包括 ：完整无错的脚本标记 ．访 问文件的标记属性 XSS攻击不仅危害 Web业务本身．对访问Web 和触发事件 业务的用户也会带来直接的影响 ．如何防范XSS攻 (2)XSS转码 击 ，是急需解决的问题 ，本文对什 么是 XSS攻击 ，原 网站程序员常会采用过滤类似 JavaScript的关键 理和如何防御作了一下简要的分析。 字符 ．来使hacker构造不了XSS．但 由于 IE浏览器默 1 XSS攻击原理及攻击方式 认 采用 的是 Unicode编码 ．HTML编码可 以用 ASCII 方式来写．这种 XSS转码支持 10进制和 16进制．所 I．I什 么是 XSS攻击 以可以采用XSS转码的方式来让浏览器完成要解释 所谓跨站脚本Ⅲ(CSS：Cross-SiteScripting)攻击 ， 标记内容。例如 ：imgsrc=”javascript：alert(XSS)；”其 是指的是恶意攻击者往 Web页面里插入恶意HTML 10进制转码为 ： 代码．当用户 ／浏览者对此站点进行再次访 问时 ．该用 imgsrc=”＆#106#97＆#118#97#115#99#114 户的浏览器就会 自动加载并执行上传的恶意脚本代 样105＆#112#116撑58 码．从而达到攻击者的特殊 目的 因为 CSS是层叠样 社97#108＆#101＆#l14#1l6#40#39＆#88#83 式表 的缩写 (CascadingStyleSheets)的缩写 ．为 了避 #83#39}}41#59” 免混淆．我们通常称它为 x“ss” imgsrc=’’javaseript：alert(，XSS；’’其 l6进制转 1．2 XSS原理 码为 ： XSS原理2[1就是因为CGI程序