2014安全评测解决方案与代码编写规.docVIP

WEB安全评测解决方案 与代码编写规范 北京恒华伟业科技股份有限公司 2013年10月 目录 1 Xss注入简介 2 1.1 一个简单的例子 2 1.2 网上的xss讲解 3 2 防御xss的七条原则 9 2.1 前言 9 2.2 原则1：不要在页面中插入任何不可信数据，除非这些数已经据根据下面几个原则进行了编码 10 2.3 原则2：在将不可信数据插入到HTML标签之间时，对这些数据进行HTML Entity编码 11 2.4 原则3：在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码 12 2.5 原则4：在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码 14 2.6 原则5：在将不可信数据插入到Style属性里时，对这些数据进行CSS编码 16 2.7 原则6：在将不可信数据插入到HTML URL里时，对这些数据进行URL编码 17 2.8 原则7：使用富文本时，使用XSS规则引擎进行编码过滤 18 3 项目中防御xss的具体措施 21 3.1 在jsp中的输出防御 21 3.1.1 stuts标签输出防御 21 3.1.2 Esapi标签输出防御 21 3.1.3 Java输出代码防御通过%=temp%的方式 22 4 防御url中的xss代码注入攻击办法 23 5 控制通过输入非登录页的url进入系统功能 24 5.1.1 Referer验证过滤器 24 5.1.2 window.open和window.location.href=特殊处理 24 6 系统日志组件的调用方法 25 6.1.1 方法一:直接调用 25 6.1.2 方法二通过Annotation 25 Xss注入简介 一个简单的例子 先看下现在frp登录页面的xss注入漏洞 先打开系统登录页 9:8080/scmm/ 然后在系统用户名中文本框中输入 1, xss: */--/iframe/script/style/title/textareascriptalert(/xsstest/)/script; 密码为 1 点击登录按钮，则出现如下界面 原因是系统验证用户名失败后，重新跳转到login.jsp 而login.jsp中通过${userCode}的方式对userCode变量进行了直接的页面输出，从而执行了不安全的脚本，正确的方式使应当对userCode进行字符编码转换后再进行输出，具体的编码转换输出方式，请参照第三章节 再比如在一个博客添加页面blogAdd.jsp中 有一个form表单 form input type=”text” name=”blog.subject”/ /form Form表单提交后跳转到blogInfo.jsp 如果在js中使用blog.subject script Var blogSubject =”s:property value=” blog.subject” /”; /script 如果我在from表单中blog.subject文本框中输入 “ var myiframe=document.createElement(“iframe”); myiframe.style.height=”100px;”; myiframe.style.width=”100px;” myiframe.src=””; document.getElementsByTagName(‘body’)[0].appendChild(myiframe); 则会成功在你的网站上显示出一个百度的页面，使用类似的代码可以实现网站钓鱼功能 例如创建一个支付页面，引诱你把账号和密码输入到钓鱼网站中 正确的做法是对用户输入blog.subject文本框中的值进行非法字符过滤后再保存到数据库或者在对 blog.subject的字段值进行输出的时候进行字符转换 转换方式是将 Var blogSubject =”s:property value=” blog.subject” /”; 修改为 Var blogSubject =”s:property value=” blog.subject” escapeJavaScript=true/”; 因为struts的property标签默认只对输出的值进行html过滤,而不对javaScript进行过滤 网上的xss讲解 XSS漏洞概述： XSS(Cross Site Script)跨站点脚本攻击是一种注射的问题，在这种恶意脚本注入否则良性和信任的网站类型。跨站点脚本（XSS）攻击，攻击者使用时，会出现一个网络应用程序发送恶意代码，一般是在浏览器端脚本的形式，向不