靶场科普 | XSS靶场之过滤XSS发表时间:2022-06-16 11:47 本文由“东塔网络安全学院”总结归纳 靶场介绍:XSS靶场之过滤XSS 今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“XSS靶场之过滤XSS”。 一、实验介绍 1.原理 XSS又叫CSS,跨站脚本攻击,它是指攻击者利用网页开发时留下的漏洞,恶意攻击者往web页面插入恶意Script代码,当用户浏览该网页之时,嵌入其中的Web里面的script代码会被执行,从而达到恶意的特殊目的。 2.XSS危害 1)窃取管理员帐号或Cookie,入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。 2)窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。 3)网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。4)发送广告或者垃圾信息。攻击者可以利用XSS漏洞植入广告,或者发送垃圾信息,严重影响到用户的正常使用。 3.XSS是如何产生的 通过在用户端注入恶意的可执行脚本,若服务器对用户的输入不进行处理或处理不严,则浏览器就会直接执行用户注入的脚本。 4.XSS常见出现漏洞的地方有数据交互的位置、数据输出的地方等。 5.常见注入点 网站的搜索栏、用户登录入口、输入表单等地方,常用来窃取客户端cookies或钓鱼欺骗。 ![]() 二、实验目的 1. 深入理解跨站脚本攻击概念; 2. 掌握xss原理; 3. 掌握对跨站脚本的绕过方式。 三、实验步骤 1. 打开实验地址,查看实验环境,根据实验要求进行相应的操作; 2. 在时间内完成xss绕过操作,并做好总结,思考其他绕过xss攻击的方式。 四、防御方式 1.使用XSS Filter; 1)输入过滤; 2)输入验证,如字符的合法性、字符串的长度限制等。 2.输出编码 对输出的数据进行编码,如HTML编码,就是让可能造成危害的信息变成无害; 3.白名单和黑名单; 当Cookie在消息头中被设置为HttpOnly时,这样支持Cookie的浏览器将阻止客户端Javascript直接访问浏览器中的cookies,从而达到保护敏感数据的作用。
文章分类:
靶场介绍
|