XSS漏洞和攻击是指什么？

水木社区手机版

主题:XSS漏洞和攻击是指什么？
楼主|chwork|2014-07-30 14:47:45|只看此ID
有没有简单例子?

看到公司有人submit php代码说:
用protectString函数一次性过滤所有的输入防止XSS
--
FROM 211.99.222.*
1楼|birdshome|2014-07-30 15:10:51|只看此ID
最常见的就是：通过url可以向目标页面注入可执行脚本。

【在 chwork (work) 的大作中提到: 】
有没有简单例子?

看到公司有人submit php代码说:
用protectString函数一次性过滤所有的输入防止XSS
--
FROM 114.245.88.*
2楼|keygen|2014-07-30 15:44:50|只看此ID
这个连IE都有防范
【在 birdshome (山寨雀巢) 的大作中提到: 】
: 最常见的就是：通过url可以向目标页面注入可执行脚本。
: 有没有简单例子?
: 看到公司有人submit php代码说:
: ...................
--
FROM 211.99.222.55
3楼|chwork|2014-07-30 21:58:29|只看此ID
有没有一个简单的

url

和目标网页的代码的例子?

【在 birdshome (山寨雀巢) 的大作中提到: 】
: 标  题: Re: XSS漏洞和攻击是指什么？
: 发信站: 水木社区 (Wed Jul 30 15:12:00 2014), 站内
:
: 最常见的就是：通过url可以向目标页面注入可执行脚本。
:
: 【在 chwork (work) 的大作中提到: 】
: 有没有简单例子?
:
: 看到公司有人submit php代码说:
: 用protectString函数一次性过滤所有的输入防止XSS
:
:
: --
:
:
:
: --
: 对于本人跟此贴的各项说明
:   1、本人是文盲，以上内容文字均不认识，也看不懂是什么意思。
:   2、此事与本人一点关系都没有，只是本着“看贴（虽然看不懂）回贴，利人利己的中华民族优秀传统美德”，顺便赚几个积分。
:   3、本人在此留言均为网络上复制，并不代表本人同意、支持或者反对楼主观点。
:   4、如本人留言违反国家有关法律，请网络管理员及时删除本人跟贴。
:   5、因删贴不及时所产生的任何法律（包括宪法，民法，刑法，书法，公检法，基本法，劳动法，婚姻法，输入法，没办法，国际法，今日说法，吸星大那个法，与台湾关系法及文中涉及或可能涉及以及未涉及之法，各地治安管理条例）纠纷或责任本人概不负责。
:
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 114.245.88.*]
--
FROM 211.99.222.*
4楼|iteddy1314|2014-08-06 23:45:27|只看此ID
简单的说就是没有对用户输入进行过滤，并且直接render到页面上。当页面允许用户提交html时，用户会输入一些可执行脚本，JavaScript可以做很多事情了
【在 chwork 的大作中提到: 】
: 有没有简单例子?
:
: 看到公司有人submit php代码说:
: ...................
--来自微水木3.0.1
--
FROM 222.35.144.*
5楼|dhcn|2014-08-07 12:11:15|只看此ID
说个简单的著名的案例，微软的live域名刚开始推广的时候，是内部邀请制，但是后端没做验证，于是有人在注册页面URL后面加了一段JS代码，访问加了JS代码的URL注册邮箱时，后缀列表里面就有live域名后缀。
后台的原理，是jS代码赋给了一个没加过滤直接输出的URL参数，这段代码给页面添加了live后缀选项。
同理，其它不加过滤的输出也会导致不是你写的JS代码在你的页面输出成可执行客户端代码。最简单的玩法，用JS取到你的域SesssionID。然后提交给他自己的服务器，或者直接用CSRF请求让你帮他做事。
【在 chwork 的大作中提到: 】
: 有没有简单例子?
: 看到公司有人submit php代码说:
: 用protectString函数一次性过滤所有的输入防止XSS
: ...................
--
修改:dhcn FROM 124.42.13.*
FROM 124.42.13.*
6楼|chwork|2014-08-07 12:46:01|只看此ID
说的还是有点抽象...

下面这个具体的简单例子算是么：

假设一个网站有个url网页是留言板用户可以提交留言
于是我在留言内容文本编辑框里输入的留言为：

<script>
this.document.title = "*********";
</script>

提交该留言后假设后台保存和前台显示该留言的代码都没有一些特殊防护措施
那么当别的用户浏览该留言板网页，并且浏览到了该留言所在页面时，
则该用户浏览器的网页标题就变成"*********" ?

【在 dhcn (小石) 的大作中提到: 】
: 标  题: Re: XSS漏洞和攻击是指什么？
: 发信站: 水木社区 (Thu Aug  7 12:11:15 2014), 站内
:
: 说个简单的著名的案例，微软的live域名刚开始推广的时候，是内部邀请制，但是后端没做验证，于是有人在注册页面URL后面加了一段JS代码，访问加了JS代码的URL注册邮箱时，后缀列表里面就有live域名后缀。
: 后台的原理，是jS代码赋给了一个没加过滤直接输出的URL参数，这段代码给页面添加了live后缀选项。
: 同理，其它不加过滤的输出也会导致不是你写的JS代码在你的页面输出成可执行客户端代码。最简单的玩法，用JS取到你的域SesssionID。然后提交给他自己的服务器，或者直接用CSRF请求让你帮他做事。
: 【在 chwork 的大作中提到: 】
: : 有没有简单例子?
: : 看到公司有人submit php代码说:
: : 用protectString函数一次性过滤所有的输入防止XSS
: : ...................
:
: --
: 人生和系统一样：在约束中得到进化。
: 读千卷书，行千万里路。
: ※ 修改:·dhcn 于 Aug  7 12:12:19 2014 修改本文·[FROM: 124.42.13.*]
: ※ 来源:·水木社区 http://www.newsmth.net·[FROM: 124.42.13.*]
--
修改:dhcn FROM 124.42.13.*
FROM 211.99.222.*
7楼|vonNeumann|2014-08-07 16:35:35|只看此ID
session cookie 不应该设成 httponly 么？

好吧.. 能留下 XSS 漏洞的开发者，多半也想不到要用 httponly...

【在 dhcn (小石) 的大作中提到: 】
: 说个简单的著名的案例，微软的live域名刚开始推广的时候，是内部邀请制，但是后端没做验证，于是有人在注册页面URL后面加了一段JS代码，访问加了JS代码的URL注册邮箱时，后缀列表里面就有live域名后缀。
: 后台的原理，是jS代码赋给了一个没加过滤直接输出的URL参数，这段代码给页面添加了live后缀选项。
: 同理，其它不加过滤的输出也会导致不是你写的JS代码在你的页面输出成可执行客户端代码。最简单的玩法，用JS取到你的域SesssionID。然后提交给他自己的服务器，或者直接用CSRF请求让你帮他做事。
: ...................
--
FROM 211.99.222.*
8楼|dhcn|2014-08-07 17:16:37|只看此ID
1、很多开发者不管Session机制的技术细节，很多连那个SessionID都不知道。
2、按道理，提供Session机制的容器啊框架啊应该添加好httponly属性，可惜现实不是这样。
【在 vonNeumann 的大作中提到: 】
: session cookie 不应该设成 httponly 么？
:
: 好吧.. 能留下 XSS 漏洞的开发者，多半也想不到要用 httponly...
: ...................
--
FROM 124.42.13.*