快精灵印艺坊 您身边的文印专家 广州名片 深圳名片 会员卡 贵宾卡 印刷 设计教程
产品展示 在线订购 会员中心 产品模板 设计指南 在线编辑
 首页 名片设计   CorelDRAW   Illustrator   AuotoCAD   Painter   其他软件   Photoshop   Fireworks   Flash  

 » 彩色名片
 » PVC卡
 » 彩色磁性卡
 » 彩页/画册
 » 个性印务
 » 彩色不干胶
 » 明信片
   » 明信片
   » 彩色书签
   » 门挂
 » 其他产品与服务
   » 创业锦囊
   » 办公用品
     » 信封、信纸
     » 便签纸、斜面纸砖
     » 无碳复印纸
   » 海报
   » 大篇幅印刷
     » KT板
     » 海报
     » 横幅

跨站SCRIPT攻击(三)

跨站Script攻击(三)

第二部分:跨站Script攻击的防犯

一、如何避免服务器受到跨站Script的攻击

  值得庆幸的是,防止跨站Script攻击的技术正趋于完善。目前可采取这几种方法来防止跨站Script的攻击:

1.对动态生成的页面的字符进行编码

2.对输入进行过滤和限制

3.使用HTML和URL编码

1.对动态生成的页面的字符进行编码

  你们首先要采用的就是对动态生成页面的字符进行编码,你必须这样做,不然黑客很有可能更改你的字符设置而容易地通过你
的防线。假如我们的网站是个英语网站,这样只要我们把字符编码设成拉丁字符ISO-8859-1就行了,详细情况如下:

<META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">

2.过滤和限制所有输入的数据

  这是防止跨站Script的攻击的第二种方式,在进行登录的时侯,不要让那些特别的字符也输入进去。因此我们可在ONSUBMIT方
法中加入JAVASCRIPT程序来完成这个功能。在本例中我们限制最多只能输入15个字符。这样可以阻止那些较长的script的输入。

  在<<Knowledge Base Article QA252985>>这本书中微软提供了一个简短的Javascript程序来完成对输入数据的过滤。我们
也根据详细情况引进了这段代码用于我们的例子中,如:

function checkForm() {

document.forms[0].userName.value = _

RemoveBad(document.forms[0].userName.value);

return true;

}

// MICROSOFT\\\'S CODE

function RemoveBad(strTemp) {

strTemp = strTemp.replace(/</>/"/\\\'/%/;/(/)/&/+/-/g,"");

return strTemp;

}

用这个办法,可以过滤在输入中含有的这些字符:

% < > [ ] { } ; & + - " \\\'( )

3.使用HTML和URL编码

  尽管使用上面所说的过滤和限制输入的办法是一种异常重要用防备手段,但它对我的这种采用邮件方法的攻击还是无能为力。
因为我把URL的参数直接放在邮件中。针对这种情况我们不得不采取一种更有力的安全措施。假如我们用的ASP,解决起来相对说来
要轻易得多。只要对动态生成的网页总进行HTML和URL编码就行了。针对我们例子中的情况,在第一输入页中我们对redirect URL
作了如下改动:

strRedirectUrl = strRedirectUrl & _

server.URLEncode(Response.Cookies("userName"))


在执行页中我们加入:

strUserName =server.HTMLEncode(Request.QueryString("userName"))



strUserName =server.HTMLEncode(Request.Form("userName"))

  微软推荐对所有动态页面的输入和输出都应进行编码。甚至在对数据库数据的存入和取出也应如此。这样你就能在很大程度上
避免跨站script的攻击。


要做到这些还要在Page1.asp中加入:


<%@ Language=VBScript %>


<% If Request.Cookies("userName") <> "" Then


\\\'redirect if detect the cookie

Dim strRedirectUrl

strRedirectUrl = "page2.asp?userName="

strRedirectUrl = strRedirectUrl & _

server.URLEncode(Request.Cookies("userName"))

Response.Redirect(strRedirectUrl)


Else %>

<HTML>

<HEAD>

<META http-equiv="Content-Type"content="text/html; charset=ISO-8859-1">

<TITLE>MyNiceSite.com Home Page</TITLE>

</HEAD>

<SCRIPT LANGUAGE="javascript">

<!--

function checkForm() {

document.forms[0].userName.value =

RemoveBad(document.forms[0].userName.value);

return true;

}


//******************************************************

//Programmer: NOT ORIGINAL CODE - COMES FROM MICROSOFT

//Code Source: Microsoft Knowledge Base Article Q25z985

//Description: Removes bad characters.

//******************************************************


function RemoveBad(strTemp) {

strTemp =strTemp.replace(/</>/"/\\\'/%/;/(/)/&/+/-/g, "");

return strTemp;

}

//-->

</SCRIPT>

<BODY>

<BR>

<H2>MyNiceSite.com</H2>

<BR>

<FORM method="post"action="page2.asp" onsubmit="return checkForm();">

Enter your MyNiceSite.com username:

<INPUT type="text"name="userName" width="10" maxwidth="10">

<INPUT type="submit"name="submit" value="submit">

</FORM>

</BODY>

</HTML>

<% end if %>

Page2.asp中加如:


<%@ Language=VBScript %>

<% Dim strUserName

If Request.QueryString("userName")<>"" Then

strUserName =server.HTMLEncode(Request.QueryString("userName"))

Else

Response.Cookies("userName") =Request.Form("userName")

strUserName = server.HTMLEncode(Request.Form("userName"))

End If %>

<HTML>

<HEAD>

<META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">

</HEAD>

<BODY>

<H3 align="center">Hello: <%= strUserName %></H3>

</BODY>

</HTML>

  现在由于这种攻击遭到有效的防制。那于那些恶意的标签和Script被编码,他们就被以文字的形式显现了出来,如下图:


  我们也可增加一个IIS组件用于过滤所有从动态输入中的特别字符。对于那些已经做好的网站,采用这种办法来防止跨站
script的攻击来得异常轻易。我们的这个控件能拦截来自ASP页面的REQUEST目标,可对表格,cookie,哀求字串和程序的内容进行
检测:

  我们也可以通过编写log文件的方式把统计数据加入这个组件中。每当一个客户输入一个非法字符时,这个组件会记下它的IP
地址和时间。详情请见Doug Dean的<<Roll your Own IIS Application on ASPToday>>一文。

  我们只需采取一些简朴的步聚就能有效地阻止跨站script的攻击。除了以上所说的三种方式外,微软和CERT还强烈推荐使用一
种他们称之为“sanity check”的方式。例如,假设有个输入窗口只答应输入数字,我们就给它做个限定,只答应0-9数字的输
入。微软和CERT所采用的这种对输入的字符进行限定的办法要比单独的采用过滤特别字符要好得多。采用了这些措施后你就能让那
些参观你网站的客户在访问你网站时受到保护。

二、免受黑客攻击我们浏览器方式:

  当你在网上漫游的时侯,怎样来避免受到攻击呢?微软和CERT建议不要在网上胡碰乱撞。针对这种情况,PC杂志一个栏目的名
叫John Dvorack作者作了一个饶有爱好的回答。他认为这是微软公司一起有预谋的行为:就是用来吓唬网上冲浪的人到那些安全的
站点去浏览,如美国在线和MSN.com网站。

  在我们所举的例子中,即使你不在网上胡乱游荡,也不能避免在网上遭到黑客的袭击。具有讽刺意义的是,大多数的危险都来
自于我们最信任的网站。假如要让网站一定不出问题,你只好不下载任何动态内容或者任何cookie。预知详情请参阅浏览器的相关
资料。

  微软也警告你们应把浏览器的Active Script设置成严格限制的状态并把Email也设成严格限制的接收模式。在点击邮件中的
链接时,一定要小心。如需进一步了解情况请参阅一本名叫<<Microsoft\\\'s Knowledge Base Article Q253117>>的书。为了以
防万一,你最好是多一点上网经验,并且时刻要小心谨慎。

结论

  假如你是以前的UNIX程序开发人员,你也许不会知道跨站script意谓着什么。你知道许多站点的治理人员登录的用户名和密码
分别为root,root.同样许多数据库治理员的名称和密码分别为sa,password。你也知道Webzine(如Phrack 和 Alt2600),依据他
们所提供的方式能让你一步步地知道某台服务器的弱点。在这种硬件上,你也知道许多网站的数据库服务器和web服务器都没有进行
自我保护。一但遭遇黑客,机器就得瘫痪。

  尽管我们很轻易采取防止系统受到黑客的攻击的措施,但我们的系统是一直暴露在黑客面前的。我们完全有理由相信下一年还
会出现一些新的安全漏洞。在CERT公司John Howard先生指导下完成的一篇论文中曾提到:“跟据目前的研究显示,每个在英特网
上具有域名的网站平均一年被黑客至少攻击一次。”

  对服务器来说那怕只是一次这种攻击也是不能承受的。跨站Script攻击是黑客可采用的另一种方式。但我们只要进行以上所说
的一些简朴的处理就能防止这种形式攻击的发生。
返回类别: 教程
上一教程: 用排序串字段实现树状结构(库结构)
下一教程: 使用INSTALLSHIELD制作ASP安装程序(5)

您可以阅读与"跨站SCRIPT攻击(三)"相关的教程:
· ASP漏洞集-跨站SCRIPT攻击和防范
· 温柔的杀手-跨站ASP SCRIPT攻击
· 跨站Script攻击(一)
· 跨站SCRIPT攻击(二)
· 跨站Script攻击(二)
    微笑服务 优质保证 索取样品  
  快精灵印艺坊 版权所有 首页会员中心在线印刷在线编辑付款方式索取样品设计指南连锁门店
网站地图关于我们友情链接