Web安全與防護(hù) （微課版） 課件 04-3 項(xiàng)目四 任務(wù)三四 跨站腳本漏洞修復(fù)與防范

項(xiàng)目四

安全的用戶(hù)輸入Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)檢測(cè)和利用跨站腳本漏洞熟悉跨站腳本漏洞的檢測(cè)方法熟悉跨站腳本漏洞的利用方法任務(wù)三

跨站腳本漏洞檢測(cè)與驗(yàn)證目錄CONTENTS01/檢測(cè)跨站腳本漏洞02/利用跨站腳本漏洞檢測(cè)跨站腳本漏洞01（1）在應(yīng)用程序中找到一個(gè)輸入字段，例如搜索框、評(píng)論框或聯(lián)系表單。輸入一些HTML或JavaScript代碼，例如：<script>alert('XSS');</script>

（2）提交輸入并觀察瀏覽器中是否彈出了一個(gè)警告框。如果彈出了警告框，說(shuō)明應(yīng)用程序中存在跨站腳本漏洞。（3）如果沒(méi)有彈出警告框，嘗試在輸入中添加一些其他惡意代碼，例如cookie竊取腳本、重定向腳本或惡意HTML標(biāo)簽。觀察是否能夠成功執(zhí)行這些代碼。（4）如果沒(méi)有發(fā)現(xiàn)跨站腳本漏洞，請(qǐng)嘗試在其他輸入字段中進(jìn)行類(lèi)似的測(cè)試。例如，如果應(yīng)用程序包含一個(gè)上傳文件功能，則可以嘗試上傳包含惡意腳本的HTML文件。如果無(wú)法手動(dòng)檢測(cè)跨站腳本漏洞，可以使用自動(dòng)化工具來(lái)掃描應(yīng)用程序。常見(jiàn)的跨站腳本掃描工具包括OWASPZAP、Netsparker、Acunetix、BurpSuite等。利用跨站腳本漏洞02（1）竊取用戶(hù)會(huì)話(huà)令牌或其他敏感信息。攻擊者可以編寫(xiě)JavaScript代碼來(lái)獲取當(dāng)前用戶(hù)的cookie，然后將該cookie發(fā)送到攻擊者的服務(wù)器。攻擊者可以使用竊取的cookie登錄用戶(hù)的帳戶(hù)，并執(zhí)行其他惡意操作。（2）修改網(wǎng)頁(yè)內(nèi)容。攻擊者可以注入惡意腳本來(lái)更改網(wǎng)頁(yè)內(nèi)容，例如添加廣告、修改表單字段或注入其他惡意代碼。（3）欺騙用戶(hù)。攻擊者可以注入惡意腳本來(lái)模擬合法的網(wǎng)頁(yè)內(nèi)容，例如偽造登錄表單、模擬警告框或創(chuàng)建虛假的鏈接。項(xiàng)目四

安全的用戶(hù)輸入Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)對(duì)跨站腳本漏洞進(jìn)行修復(fù)和防范熟悉跨站腳本漏洞的修復(fù)防范方法任務(wù)四

跨站腳本漏洞修復(fù)與防范目錄CONTENTS01/對(duì)用戶(hù)輸入進(jìn)行處理02/使用內(nèi)容安全策略03/使用安全Cookie對(duì)用戶(hù)輸入進(jìn)行處理01$input

=

"<script>alert('XSS');</script>";$output

=

strip_tags($input);echo

$output;

//

輸出:

alert('XSS');過(guò)濾輸入數(shù)據(jù)：對(duì)于用戶(hù)輸入的數(shù)據(jù)，可以使用過(guò)濾器或正則表達(dá)式等方法進(jìn)行過(guò)濾，去除其中的HTML標(biāo)簽和JavaScript代碼；PHP中可以使用strip_tags()函數(shù)去除HTML標(biāo)簽；JavaScript中可以使用innerHTML屬性去除HTML標(biāo)簽，使用encodeURI()函數(shù)編碼URL等。例如使用strip_tags()函數(shù)去除HTML標(biāo)簽：對(duì)用戶(hù)輸入進(jìn)行處理01$email

=

"";if

(!filter_var($email,

FILTER_VALIDATE_EMAIL))

{

echo

"Invalid

email

format";}驗(yàn)證輸入數(shù)據(jù)：在接收到用戶(hù)輸入后，應(yīng)該對(duì)其進(jìn)行驗(yàn)證，確保其符合預(yù)期的格式和類(lèi)型。例如，對(duì)于輸入的郵件地址，可以使用PHP的filter_var()函數(shù)進(jìn)行驗(yàn)證；對(duì)于輸入的日期，可以使用JavaScript的Date對(duì)象進(jìn)行驗(yàn)證。例如使用filter_var()函數(shù)驗(yàn)證輸入的郵件地址：對(duì)用戶(hù)輸入進(jìn)行處理01$input

=

"<script>alert('XSS');</script>";$output

=HTMLspecialchars($input,

ENT_QUOTES,

'UTF-8');echo

$output;

//

輸出:

<script>alert('XSS');</script>轉(zhuǎn)義輸出數(shù)據(jù)：在將用戶(hù)輸入輸出到頁(yè)面上時(shí)，應(yīng)該將其中的特殊字符進(jìn)行轉(zhuǎn)義，避免被瀏覽器誤解為HTML標(biāo)簽或JavaScript代碼。在PHP中，可以使用HTMLspecialchars()函數(shù)將HTML特殊字符進(jìn)行轉(zhuǎn)義；在JavaScript中，可以使用innerText屬性或document.createTextNode()方法將文本內(nèi)容進(jìn)行轉(zhuǎn)義。例如使用HTMLspecialchars()函數(shù)將特殊字符轉(zhuǎn)義成HTML實(shí)體：使用內(nèi)容安全策略02Content-Security-Policy:

default-src

'self';

script-src

'self'

;

object-src

'none'內(nèi)容安全策略（ContentSecurityPolicy，CSP）是一種現(xiàn)代的防御跨站腳本攻擊的方式。CSP允許網(wǎng)站管理員指定允許加載的內(nèi)容的來(lái)源，從而防止惡意腳本或其他不受信任的內(nèi)容加載到頁(yè)面上。在使用CSP時(shí)，需要添加一個(gè)Content-Security-Policy標(biāo)頭到HTTP響應(yīng)中。該標(biāo)頭指定允許加載的內(nèi)容源（例如script-src、style-src、font-src等），并指定是否允許內(nèi)聯(lián)腳本。以下是一個(gè)示例CSP標(biāo)頭。上面的例子限制了所有資源的來(lái)源必須是當(dāng)前域名（'self'），并且允許從

加載JavaScript文件，而不允許加載任何插件使用安全Cookie03<?php//

設(shè)置Cookiesetcookie('cookie_name',

'cookie_value',

time()+3600,

'/',

'',

true,

true);Cookie是一個(gè)常見(jiàn)的用于存儲(chǔ)用戶(hù)會(huì)話(huà)信息的機(jī)制，但是Cookie也存在安全風(fēng)險(xiǎn)。攻擊者可以通過(guò)劫持Cookie來(lái)冒充用戶(hù)，或者通過(guò)修改Cookie來(lái)實(shí)現(xiàn)其他攻擊。為了保護(hù)Cookie，可以使用安全Cookie，也稱(chēng)為HTTP-onlyCookie。安全Cookie只能通過(guò)HTTP請(qǐng)求訪(fǎng)問(wèn)，無(wú)法通過(guò)客戶(hù)端腳本（如Javascript）訪(fǎng)問(wèn)。這樣可以防止跨站腳本攻擊等攻擊方式。在PHP中，可以通過(guò)setcookie()函數(shù)來(lái)設(shè)置安全Cookie。下面是一個(gè)設(shè)置安全Cookie的例子：課堂實(shí)踐一、任務(wù)名稱(chēng)：檢測(cè)利用跨站腳本漏洞并進(jìn)行修復(fù)二、任務(wù)內(nèi)容：審計(jì)項(xiàng)目四任務(wù)一所開(kāi)發(fā)的博客系統(tǒng)文章發(fā)布和評(píng)論發(fā)布功能代碼，找出跨站腳本漏洞并對(duì)代碼進(jìn)行修改三、工具需求：瀏覽器、Vscode、Apache、MySQL、PHP四、任務(wù)要求：小組實(shí)操后輪流進(jìn)行展示，老師進(jìn)行點(diǎn)評(píng)。課堂思考一、反射型XSS可以采取哪些方法偽裝釣魚(yú)鏈接？二、PHP中有哪些函數(shù)被用于防范XSS漏洞？三、反射型XSS和存儲(chǔ)型XSS