帮助信息

稳定机房之星-详细

广东佛山顺德电信IDC机房共420G带宽直接接入CHINANET国家骨干网，420G的高带宽保证网络链路可靠性、通畅性。华为NE5000高端路由器作顺德城域网的骨干出口路由器，采用高性能的HUAWEI S9306交换机作为IDC的接入交换机。

查看详情

佛山服务器租用佛山服务器托管

热门TOP

IDC文章推荐

带你参观惠州IDC机房

超级端口PING教程小工具

网站服务器租用的价格知识

在线客服QQ7X24服务

78664972	56899324

2192977123	89688368

3247641427	3130576502

当前位置：首页 > 帮助信息

服务器站长如何防范XSS类型的攻击

发布时间：2016-08-14 21:20:25　　|　　发布者：　　| 访问次数：1658

　　作为一个站长，我们每天面对的除了访客之外，还要防御黑客的攻击，如今工具手段花样很多，今天我和大家说说最近流行的XSS攻击类漏洞我们要怎么防御，就像零点IDC论坛一样，几千的会员，我作为管理员我要都对他...

作为一个站长，我们每天面对的除了访客之外，还要防御黑客的攻击，如今工具手段花样很多，今天我和大家说说最近流行的XSS攻击类漏洞我们要怎么防御，就像零点IDC论坛一样，几千的会员，我作为管理员我要都对他们的信息保护好。

关于什么是XSS攻击可以去百度百科看看（http://baike.baidu.com/view/50325.htm）

下面我为大家介绍一下10多种常见的XSS：

1、用户输入原样输出

利用方法：直接在输出的地方进行xss攻击
解决方案：
需要进行过滤，最常见的比如过滤 < 、>，
如下内容输入：
http://xxx.com/?umod=commentsout ... &dataid=1480&score=<img src=1 onerror=alert(1);>&func=haoping&_=1353475261886

可以直接被执行
2、输出在<script></script>之间
利用方法：
1）通过闭合标签的方式来进行xss攻击，如注入</script><script>xss code</script><script>
2) 注入特殊的代码保证<script> </script>标签内的代码仍然是正常的JS语法，且可以执行恶意JS代码
如输入aaaa 显示：

<script type='text/javascript'>document.domain='xxxx.com';_ret={"_res":2};try{parent.aaaaaaaaa</script><script>alert(1)</script>(_ret);}catch(err){aaaaaaaaa</script><script>alert(1)</script>(_ret);}</script>

则可以通过输入
eval(‘alert(1)’);void

<script type='text/javascript'>document.domain='xxxx.com';_ret={"_res":2};try{parent.eval('alert(1)');void(_ret);}catch(err){eval('alert(1)');void(_ret);}</script>

解决方案：
1)、过滤用户输入的内容，常见的是过滤 ‘、”、;、< 、>
2)、尽量不要把用户可以控制的变量内容输出在<script>标签内部

3、输出在HTML属性页面里面
利用方法：
在属性标签里面注入js代码，比如在input标签里面注入 onclick事件

解决方案：
1）、由于出现在HTML属性的html实体会被自动转义并执行，故需要严格过滤 \ 、 & 字符。
2）、匹配HTML实体时若用正则匹配需要考虑到&#XX; 变换成�XX;也是同样可以执行的
4、双字节编码绕过
利用方法：
在特殊的字符集（常见GBXXXX）编码情况下，输入” 被转义\”的情况下，通过输入一些高位编码可以注入代码从而闭合”如输入 %a0″,就可以绕过转义的情况。
解决方案：
1、可以统一指定编码为UTF8
2、对高位的字符进行过滤，不允许输入非文本字符。

5、输出在双引号内
利用方法:
用户可以通过输入 \ 来匹配正文中的” 从而使后面的语法失效，导致注入XSS代码。
解决方案：
对 \ 进行过滤

6、输出在注释中
利用方法：
对于一些变量输出在注释中，可以通过换行的方式注入JS代码如下图所示：
解决方案：
不允许在注释代码中插入用户可以控制的变量

7、输出在DOM函数中
常见的DOM XSS 为变量输出在函数 document.write、innerHTML、JQUERY中的$("#y").html("xxxxxxx");

利用方法：
将变量传递给DOM 函数的参数
解决方案：
对传递给DOM 函数的参数就行严格过滤，JS中由于支持unicode编码的字符，需要过滤 \

8、输出在eval函数中
利用方法：通过”;”注入代码到eval函数的参数中，从而执行js代码
解决方案：尽量不使用eval函数，对eval函数的参数进行严格过滤,过滤 “;”

9、输出在SRC属性标签
利用方法：
通过javascript vbscript data等伪协议执行js
解决方案：
1、对SRC的赋值进行过滤，不允许出现javascript: vsscript: data: 等伪协议。
2、由于html实体编码的字符仍然可以被解析，对& # : 均需要过滤

10 输出在flash关键函数中
在flash的关键函数：
flash.external.ExternalInterface.call、getURL、navigateToURL、_evalJS及伪协议javascript：
传入用户可控的参数都可能导致XSS

利用：对特定函数传递js代码可以执行JS。
如：
navigateToURL(new URLRequest(link), "_self"); 给link参数传递为："javascript:alert(1)"

解决方案：
判断相关参数的合法性（如仅允许数字字符），限制URL合法性，不允许出现javascript、;等字样

11、 FLASH加载任意XML文件
flash通常会通过xml配置文件来取参数，如果flash可以通过加载任意XML则可能导致远程加载任意flash、执行任意JS代码。
利用：
传递xml参数一个恶意地址，通知控制里面的参数的值来执行XSS
解决方案：
判断XML文件的合法性

Tags：

上一页：机房走线与服务器运行对网络的影响　　下一页：严打盗取用户隐私站点百度“天网算法”出生

服务器租用/托管联系QQ：78664972 / 316065124

服务器优势
	IDC优势广东专业IDC服务器租用提供商 8年以上丰富经验，ISP经营许可资质多个机房供应选择IDC数据中心服务器机房资源遍布海内外	贴心服务支持 7*24技术维护支持普通话、英语多语言技术支持免费故障排查处理免费重启，重装系统，网络连接维护服务等

	网络和硬件的保证网络基础设施一流保证安全可靠的存放环境网络连通率99.99％多线路骨干网接入，网速畅通无阻	管理和监控网络连接管理实时监测带宽使用流量监视提供免费网络流量报告

　　服务协议/条款

一、整机服务器可安装任何系统，默认Windows Server 2003系统以及linux系统,其他系统可提供完整镜像安装。

二、国内机器均要备案，如未备案的可联系客服备案，香港服务器，韩国服务器免备案。

三、退款条例：非机器问题不支持退款，质量问题可申请退款。

四、一切内容以客服聊天记录为标准，S内容直接封机器不退款。

服务器优势
	IDC优势广东专业IDC服务器租用提供商 8年以上丰富经验，ISP经营许可资质多个机房供应选择IDC数据中心服务器机房资源遍布海内外	贴心服务支持 7*24技术维护支持普通话、英语多语言技术支持免费故障排查处理免费重启，重装系统，网络连接维护服务等

	网络和硬件的保证网络基础设施一流保证安全可靠的存放环境网络连通率99.99％多线路骨干网接入，网速畅通无阻	管理和监控网络连接管理实时监测带宽使用流量监视提供免费网络流量报告

服务器站长如何防范XSS类型的攻击

IDC优势

贴心服务支持

网络和硬件的保证

管理和监控