王文君： XSS检测防范技术与实例研究.pdfVIP

OWASP AppSec The OWASP Foundation BeijingBeijing http://wwworg XSS检测防范技术 与实例研究 王文君 HPHP SSoftftware shanda.wang@ Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. 自我介绍自我介绍 姓名：王文君 电邮：shanda.wang@ 工作：惠普软件某产品安全架构师， OWASPOWASP中国中国AntiSamyAntiSamy JavaJava组组长组组长 爱爱好：好：MobilityMobility SecuritySecurity ，羽毛球羽毛球网球网球 格格言：博观而约取，厚积而薄发言：博观而约取，厚积而薄发 2 AAgendda • 一个XSS攻击例子 • XSS攻击分析 • XSS类型 • 如何检测XSS • 如如何防范何防范XSS 3 本本次演讲的目的次演讲的目的 不不是训练你是训练你成为成为一个跨站师个跨站师 理解XSS的运行原理以及如何检测防范它 4 一个个XSSXSS蠕虫想到的蠕虫想到的 假设一个社交网站具有下列特性： 1. 我可以关注任何人而无需认证 2. 我关注的人发的信息我都可以看到 5 6 从简单说起从简单说起 7 XSSXSS攻击分析攻击分析(1)(1) 8 XSSXSS攻击分析攻击分析(2)(2) 9 它为什么会成功它为什么会成功(1)(1) 输入输入无 •• 如一些危险字符串。如：如一些危险字符串。如： “ ‘ = “ ‘ = // 过滤过滤 •• 适用于富文本输入和适用于富文本输入和SQLSQL 输出无 •••• 用户输入什么用户输入什么用户输入什么用户输入什么 ，，服务器端就输出什服务器端就输出什服务器端就输出什服务器端就输出什 输出无 么。如：么。如： 在在 htmlhtml没有编码成没有编码成lt;lt; 编码