去掉网页html%3c%3e,跨站脚本漏洞分享.ppt

跨站脚本漏洞分享

跨站脚本漏洞分享 盛大在线&＃xff1a;徐江涛 博客&＃xff1a; 5、总结&提问 跨站脚本漏洞 1、跨站脚本漏洞原理及其危害 2、跨站脚本漏洞分类 3、跨站脚本漏洞及案例 4、跨站脚本漏洞修补建议 Cross site scripting 简称 XSS 原理&＃xff1a; 利用网站的漏洞向网站的页面注入Javascript等脚本内容。 根源&＃xff1a;程序的输入、输出没有考虑安全因素。 跨站脚本漏洞原理及其危害 XSS Cheat Sheet /xss.html 了解不同浏览器和各种特殊的HTML标签如何执行脚本。 XSS需要使用的关键字 &＃39;&＃39;;!--"&＃61;&{()} 各类伪协议头&＃xff1a; Javascript: Vbscript: 跨站脚本漏洞原理及其危害 CSS 样式表脚本注入 style&＃61;xss:expression(eval(String.fromCharCode(105,102,40,119,105,110,100,111,119,46, 120,33,61,34,49,34,41,123,97,108,101,114,116,40,34,120,115,115,34,41,59,119,105,110,100,111,119,46,120,61,34,49,34,59,125))) expression变形。 Expression 实际内容 if(window.x!&＃61;"1"){alert("xss");window.x&＃61;"1";} 跨站脚本漏洞原理及其危害 挂马 插入恶意的脚本内容&＃xff0c;运行病毒、木马。 钓鱼 篡改网页内容&＃xff0c;骗取账号、密码等诈骗行为。 劫持会话 读取会话COOKIE,传送给第三方劫持身份。 XSS Worm 使用AJAX技术&＃xff0c;做几何趋势的增长传播。 跨站脚本漏洞原理及其危害 非持久型XSS 需要从URL传参&＃xff0c;点击链接触发。 持久型XSS XSS内容已存储到数据库&＃xff0c;写到固定页面。 DOM XSS Javascript处理数据输出出现漏洞。 浏览器的漏洞造成的XSS 跨站脚本漏洞原理及其危害 表单值容易出现XSS 搜索框、信息提示、个人资料、友情链接、背景图片等等。 各类表单值、隐藏的表单值都很危险。 跨站脚本漏洞及案例 案例 跨站脚本漏洞及案例 初级中级高级 搜索结果代码 /index.php/Lessons/index/key/%22%3E%3Cbody%20onload%3Dalert(document.COOKIE)%3E%3C%22/x/39/y/10/ 非持久XSS 过滤了反斜杠/ 跨站脚本漏洞及案例 /index.php/share/1804746 HTML代码: