XSS跨站脚本攻击在Java开发中防范的方法.docxVIP

　　XSS攻击原理：　　XSS 属于被动式的攻击。攻击者先构造一个跨站页面，利用script、IMG、IFRAME等各种方式使得用户浏览这个页面时，触发对被攻击站点的http 请求。此时，如果被攻击者如果已经在被攻击站点登录，就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际上这个请求是在被攻击者不知情的情况下发起的，由此攻击者在一定程度上达到了冒充被攻击者的目的。精心的构造这个攻击请求，可以达到冒充发文，夺取权限等等多个攻击目的。在常见的攻击实例中，这个请求是通过script 来发起的，因此被称为Cross Site Script。攻击Yahoo Mail 的Yamanner 蠕虫是一个著名的XSS 攻击实例。Yahoo Mail 系统有一个漏洞，当用户在web 上察看信件时，有可能执行到信件内的javascript 代码。病毒可以利用这个漏洞使被攻击用户运行病毒的script。同时Yahoo Mail 系统使用了Ajax技术，这样病毒的script 可以很容易的向Yahoo Mail 系统发起ajax 请求，从而得到用户的地址簿，并发送病毒给他人。　　XSS 攻击主要分为两类：一类是来自内部的攻击，主要指的是利用WEB 程序自身的漏洞，提交特殊的字符串，从而使得跨站页面直接存在于被攻击站点上，这个字符串被称为跨站语句。这一类攻击所利用的漏洞非常类似于SQL Injection 漏洞，都是WEB程序没有对用户输入作充分的检查和过滤。上文的Yamanner 就是一例。　　另一类则是来来自外部的攻击，主要指的自己构造XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个跨站网页放在自己的服务器上，然后通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。这一类攻击的威胁相对较低，至少ajax 要发起跨站调用是非常困难的。　　案例实战:我们来看一个简单的攻击实例，下表给出了一个简单的网站：:8080/testxss，该网站的密码和用户名相同，普通用户可以修改user value，当以admin 身份登陆时可以通过向doadmin.jsp 发起请求来修改admin value。　　index.jsp　　html　　body　　textarea rows=3 cols=100 readonly=on　　Current User: ${username}　　Admin Value: ${adminvalue}　　User Value: ${uservalue}　　/textarea　　br　　a href=login.jsp/logout/abr　　Login:br　　form action=login.jsp method=post　　username: input type=text name=u/input br　　password: input type=text name=p/input br　　input type=submit / password == username :-)　　/form　　form action=doadmin.jsp method=post　　adminvalue: input type=text name=v/input br　　input type=submit /　　/form　　form action=doadmin.jsp method=post　　uservalue: input type=text name=v2/input br　　input type=submit /　　/form　　/body　　login.jsp　　%　　String u = request.getParameter(u);　　String p = request.getParameter(p);　　if (u != null p != null u.equals(p)) {　　session.setAttribute(username, u);　　} else {　　session.removeAttribute(username);　　}　　response.sendRedirect(index.jsp);　　%　　doadmin.jsp　　%　　String u = (String)session.getAttribute(username);　　String v = request.getParameter(v);　　String v2 = request.getParameter(v2);　　if (u != null u.equals(admin)) {　　if (v != null)　　applicat