ASP.NET开发实践系列课程之跨站脚本(XSS)的攻防
2010-01-30 15:09
676 查看
跨站脚本(XSS)概述
跨站脚本Cross-site scripting是最为流行的web安全漏洞之一
恶意攻击者往web页面插入恶意html代码,当用户浏览该页时,嵌入其中web里面的html代码回被执行,从而达到恶
意攻击用户的特殊目的。
XSS属于被动攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
原因
过度相信客户端数据
过分相信动态web技术的安全能力
服务器端的安全设置不足
用户过于信任网站上的所有连接
未对Cookies做足够的安全处理
原理及危害
通过输入特殊的HTML/Javascript/CSS代码到取浏览者的敏感数据
通过注入包含特殊内容的字符串改变目标网页的结构或内容
通过上传特殊的文件获取服务器高极权限或破坏服务器系统及数据
通过社会工程学原理诱骗用户访问或点击包含恶意代码的网页或连接,实施不良行为
HttpUtility.HtmlEncode();
防御跨站脚本攻击
监察所有通过用户输入数据产生动态网页的代码是否存在安全漏洞
监察用户输入数据(Form, Cookies, Request.QueryString)是否存在不安全信息
Cookies做一定的安全处理(比如说绑定MAC,IP之类的)
限制输入数据的长度
对输出进行编码以过滤特殊字符
HttpUtility.HtmlEncode
AntiXss.HtmlEncode
能使用值类型的尽量不要使用String类型
跨站脚本Cross-site scripting是最为流行的web安全漏洞之一
恶意攻击者往web页面插入恶意html代码,当用户浏览该页时,嵌入其中web里面的html代码回被执行,从而达到恶
意攻击用户的特殊目的。
XSS属于被动攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
原因
过度相信客户端数据
过分相信动态web技术的安全能力
服务器端的安全设置不足
用户过于信任网站上的所有连接
未对Cookies做足够的安全处理
原理及危害
通过输入特殊的HTML/Javascript/CSS代码到取浏览者的敏感数据
通过注入包含特殊内容的字符串改变目标网页的结构或内容
通过上传特殊的文件获取服务器高极权限或破坏服务器系统及数据
通过社会工程学原理诱骗用户访问或点击包含恶意代码的网页或连接,实施不良行为
HttpUtility.HtmlEncode();
防御跨站脚本攻击
监察所有通过用户输入数据产生动态网页的代码是否存在安全漏洞
监察用户输入数据(Form, Cookies, Request.QueryString)是否存在不安全信息
Cookies做一定的安全处理(比如说绑定MAC,IP之类的)
限制输入数据的长度
对输出进行编码以过滤特殊字符
HttpUtility.HtmlEncode
AntiXss.HtmlEncode
能使用值类型的尽量不要使用String类型
相关文章推荐
- ASP.NET开发实践系列课程之Web应用的安全攻防之网页木马
- ASP.NET开发实践系列课程之Web应用的安全攻防之垃圾信息群发(SPAM)
- ASP.NET开发实践系列视频课程全集
- ASP.NET开发实践系列课程之SQL注入攻击(SQL Injection)
- ASP.NET开发实践系列课程之c#代码优化
- ASP.NET开发实践系列课程之ASP.NET综合调优
- MSDN Webcast 系列课程之《ASP.NET MVC 3 开发实践系列课程》
- ASP.NET开发实践系列课程之前端调优
- ASP.NET开发实践系列课程之数据库调优
- (转)ASP.NET开发实践系列视频课程全集
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
- Asp.net安全架构之xss(跨站脚本)
- ASP.NET MVC框架开发系列课程(8):AJAX
- 31:ASP.NET复习系列- ADO.NET提高-ADO.NET开发最佳实践
- ASP.NET MVC框架开发系列课程一
- ASP.NET MVC框架开发系列课程
- [导入]ASP.NET MVC框架开发系列课程(7):Action Filter.zip(16.83 MB)
- Asp.net安全架构之1:xss(跨站脚本)
- 【PHP TO ASP.NET 2.0开发系列课程(1):PHP与ASP.NET2.0之比较分析】笔记
- ASP.NET MVC框架开发系列课程(8):AJAX