==Ph4nt0m Security Team== Issue 0x02, Phile #0x07 of 0x0A |=---------------------------------------------------------------------------=| |=-------------------------=[ 乱谈之XSS攻击检测 ]=---------------------------=| |=---------------------------------------------------------------------------=| |=---------------------------------------------------------------------------=| |=----------------------=[ By Xy7 ]=----------------------=| |=--------------------=[ ]=--------------------=| |=---------------------------------------------------------------------------=| 前言: 所谓乱谈,不是科普,不是分析.具体关于XSS攻击的基础知识感兴趣的可以在网上一搜 一大堆出来,比如:百度科普.本文只是站在一个防御者的角度,探讨作为第三方程序防御XSS 攻击过程中出现的一些困难,思路无章,可谓杂文. 一,B/S结构下的HTML标签XSS 这是最普通的一类跨站攻击了,也就是平常经常被人说到的那一类,具体漏洞成因可以 用如下一个过程来表示:
当一个恶意用户在没有过滤的地方提交alert("80sec"),这样在有 其他用户浏览的情况下,这段代码就会在其他用户的IE中被执行.当然这只是最基本的一种 测试方法,如果XSS只是弹框框而已,那就没什么说道的了,防御这种攻击过滤HTML标签就可 以了.但是还有那么多标签的事件呢 CSS的属性,各种编码…要写这么一个全面的过滤危险 字符的检测函数实在不是一件简单的工作,而且效果肯定也不是很完美.最好的防御方式最 好还是仔细的检查WEB应用程序代码,限制用户的输入.不过这样在现实中可能并不能行的 通,因为不是每个WEB程序的使用者都有阅读代码的能力或者WEB安全意识,此类站点出现XSS 漏洞见怪不怪,而稍微有点财力的站点或者企业都希望能有一批专业人员来帮助他们修补漏 洞,提升WEB程序的安全性,这样就给很多提供WEB检测服务的组织或厂商带来了商机,而更现 实的是服务并没有产品卖钱,所以小公司卖服务,大公司推产品,产品的过滤自然有考虑不周 的地方,服务也不能保证尽善尽美,所以安全等级参差不齐.在如今WEB安全日益被提上高度 的同时,XSS攻击依然风风火火也就不足为奇了. 二,UBB标签的XSS 在各大论坛或者BLOG程序中对UBB标签的使用已经是非常成熟了.UBB提供了有限的标 签可供使用,本身可以说已经设置了一道过滤.常见的UBB转换代码如下: < function ubb($text) { $text=trim($text); $Text=ereg_replace("\n","",$Text); $Text=preg_replace("/\\t/is"," ",$Text);

下一页