XSS(Cross SiteScript)跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,因此容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。php
XSS攻击相似于SQL注入攻击,攻击以前,咱们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另外一种是Stored XSS漏洞。理论上,全部可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。html
(1). DOM Based XSSweb
DOM Based XSS是一种基于网页DOM结构的攻击,该攻击特色是中招的人是少数人。数据库
场景一
当我登陆a.com后,我发现它的页面某些内容是根据url中的一个叫content参数直接显示的,猜想它测页面处理多是这样,其它语言相似:
浏览器
<html> <head> <title>XSS测试</title> </head> <body> 页面内容:<%=request.getParameter("content")%> </body> </html>
我知道了Tom也注册了该网站,而且知道了他的邮箱(或者其它能接收信息的联系方式),我作一个超连接发给他,超连接地址为:http://www.a.com?content=,浏览器展现页面内容的过程当中,就会执行个人脚本,页面输出xss字样,这是攻击了我本身,那我如何攻击别人而且获利呢?安全
(2). Stored XSS
Stored XSS是存储式XSS漏洞,因为其攻击代码已经存储到服务器上或者数据库中,因此受害者是不少人。服务器
场景二:cookie
a.com能够发文章,我登陆后在a.com中发布了一篇文章,文章中包含了恶意代码,,保存文章。这时Tom和Jack看到了我发布的文章,当在查看个人文章时就都中招了,他们的cookie信息都发送到了个人服务器上,攻击成功!这个过程当中,受害者是多我的。
Stored XSS漏洞危害性更大,危害面更广。
(3). XSS防护
XSS防护有以下方式。
* 完善的过滤体系
永远不相信用户的输入。须要对用户的输入进行处理,只容许输入合法的值,其它值一律过滤掉。
Html encode
假如某些状况下,咱们不能对用户数据进行严格的过滤,那咱们也须要对标签进行转换。
session
less-than character< |
“<”; |
greater-than character< | “>”; |
ampersand character& | “&”; |
double-quote character” | “"”; |
space character() | “ ”; |
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,一般缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS很是不一样,而且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则经过假装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击每每不大流行(所以对其进行防范的资源也至关稀少)和难以防范,因此被认为比XSS更具危险性。less
你这能够这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF可以作的事情包括:以你名义发送邮件,发消息,盗取你的帐号,甚至于购买商品,虚拟货币转帐……形成的问题包括:我的隐私泄露以及财产安全。
从上图能够看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登陆受信任网站A,并在本地生成Cookie。
2.在不登出A的状况下,访问危险网站B。
CSRF的防护能够从服务端和客户端两方面着手,防护效果是从服务端着手效果比较好,如今通常的CSRF防护也都在服务端进行。
(1). 服务端进行CSRF防护
服务端的CSRF方式方法不少样,但总的思想都是一致的,就是在客户端页面增长伪随机数。
(1).Cookie Hashing(全部表单都包含同一个伪随机值):
这多是最简单的解决方案了,由于攻击者不能得到第三方的Cookie(理论上),因此表单中的数据也就构造失败了:
<?php //构造加密的Cookie信息 $value = “DefenseSCRF”; setcookie(”cookie”, $value, time()+3600); ?>
在表单里增长Hash值,以认证这确实是用户发送的请求。
复制代码
<?php $hash = md5($_COOKIE['cookie']); ?> <form method=”POST” action=”transfer.php”> <input type=”text” name=”toBankId”> <input type="text" name="money"> <input type="hidden" name="hash" value="&amp;lt;?=$hash;?>"> <input type="submit" name="submit" value="Submit"> </form>
而后在服务器端进行Hash值验证
<?php if(isset($_POST['check'])){ $hash = md5($_COOKIE['cookie']); if($_POST['check'] == $hash) { doJob(); } else { //... } } else { //... } ?>
这个方法我的以为已经能够杜绝99%的CSRF攻击了,那还有1%呢….因为用户的Cookie很容易因为网站的XSS漏洞而被盗取,这就另外的1%。通常的攻击者看到有须要算Hash值,基本都会放弃了,某些除外,因此若是须要100%的杜绝,这个不是最好的方法。
(2).验证码
这个方案的思路是:每次的用户提交都须要用户在表单中填写一个图片上的随机字符串,这个方案能够彻底解决CSRF,但我的以为在易用性方面彷佛不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHTML的Bug,可能在某些版本的微软IE中受影响。
(3).One-Time Tokens(不一样的表单包含一个不一样的伪随机值)
在实现One-Time Tokens时,须要注意一点:就是“并行会话的兼容”。若是用户在一个站点上同时打开了两个不一样的表单,CSRF保护措施不该该影响到他对任何表单的提交。考虑一下若是每次表单被装入时站点生成一个伪随机值来覆盖之前的伪随机值将会发生什么状况:用户只能成功地提交他最后打开的表单,由于全部其余的表单都含有非法的伪随机值。必须当心操做以确保CSRF保护措施不会影响选项卡式的浏览或者利用多个浏览器窗口浏览一个站点。
如下个人实现:
1).先是令牌生成函数(gen_token()):
<?php function gen_token() { //这里我是贪方便,实际上单使用Rand()得出的随机数做为令牌,也是不安全的。 //这个能够参考我写的Findbugs笔记中的《Random object created and used only once》 $token = md5(uniqid(rand(), true)); return $token; }
2).而后是Session令牌生成函数(gen_stoken()):
<?php function gen_stoken() { $pToken = ""; if($_SESSION[STOKEN_NAME] == $pToken){ //没有值,赋新值 $_SESSION[STOKEN_NAME] = gen_token(); } else{ //继续使用旧的值 } } ?>
3).WEB表单生成隐藏输入域的函数:
<?php function gen_input() { gen_stoken(); echo "<input type=\"hidden\" name=\"" . FTOKEN_NAME . "\"value=\"" . $_SESSION[STOKEN_NAME] . "\"> "; } ?>
4).WEB表单结构:
<?php session_start(); include(”functions.php”); ?> <form method=”POST” action=”transfer.php”> <input type=”text” name=”toBankId”> <input type=”text” name=”money”> <? gen_input(); ?> <input type=”submit” name=”submit” value=”Submit”> </FORM>
5).服务端核对令牌:
这个很简单,这里就再也不啰嗦了。
上面这个其实不彻底符合“并行会话的兼容”的规则,你们能够在此基础上修改。
参考文献:XSS攻击及防护
浅谈CSRF攻击方式