Web安全與防護(hù) （微課版） 課件 04-3 項目四 任務(wù)三四 跨站腳本漏洞修復(fù)與防范

項目四

安全的用戶輸入Web安全與防護(hù)本任務(wù)要點學(xué)習(xí)目標(biāo)檢測和利用跨站腳本漏洞熟悉跨站腳本漏洞的檢測方法熟悉跨站腳本漏洞的利用方法任務(wù)三

跨站腳本漏洞檢測與驗證目錄CONTENTS01/檢測跨站腳本漏洞02/利用跨站腳本漏洞檢測跨站腳本漏洞01（1）在應(yīng)用程序中找到一個輸入字段，例如搜索框、評論框或聯(lián)系表單。輸入一些HTML或JavaScript代碼，例如：<script>alert('XSS');</script>

（2）提交輸入并觀察瀏覽器中是否彈出了一個警告框。如果彈出了警告框，說明應(yīng)用程序中存在跨站腳本漏洞。（3）如果沒有彈出警告框，嘗試在輸入中添加一些其他惡意代碼，例如cookie竊取腳本、重定向腳本或惡意HTML標(biāo)簽。觀察是否能夠成功執(zhí)行這些代碼。（4）如果沒有發(fā)現(xiàn)跨站腳本漏洞，請嘗試在其他輸入字段中進(jìn)行類似的測試。例如，如果應(yīng)用程序包含一個上傳文件功能，則可以嘗試上傳包含惡意腳本的HTML文件。如果無法手動檢測跨站腳本漏洞，可以使用自動化工具來掃描應(yīng)用程序。常見的跨站腳本掃描工具包括OWASPZAP、Netsparker、Acunetix、BurpSuite等。利用跨站腳本漏洞02（1）竊取用戶會話令牌或其他敏感信息。攻擊者可以編寫JavaScript代碼來獲取當(dāng)前用戶的cookie，然后將該cookie發(fā)送到攻擊者的服務(wù)器。攻擊者可以使用竊取的cookie登錄用戶的帳戶，并執(zhí)行其他惡意操作。（2）修改網(wǎng)頁內(nèi)容。攻擊者可以注入惡意腳本來更改網(wǎng)頁內(nèi)容，例如添加廣告、修改表單字段或注入其他惡意代碼。（3）欺騙用戶。攻擊者可以注入惡意腳本來模擬合法的網(wǎng)頁內(nèi)容，例如偽造登錄表單、模擬警告框或創(chuàng)建虛假的鏈接。項目四

安全的用戶輸入Web安全與防護(hù)本任務(wù)要點學(xué)習(xí)目標(biāo)對跨站腳本漏洞進(jìn)行修復(fù)和防范熟悉跨站腳本漏洞的修復(fù)防范方法任務(wù)四

跨站腳本漏洞修復(fù)與防范目錄CONTENTS01/對用戶輸入進(jìn)行處理02/使用內(nèi)容安全策略03/使用安全Cookie對用戶輸入進(jìn)行處理01$input

=

"<script>alert('XSS');</script>";$output

=

strip_tags($input);echo

$output;

//

輸出:

alert('XSS');過濾輸入數(shù)據(jù)：對于用戶輸入的數(shù)據(jù)，可以使用過濾器或正則表達(dá)式等方法進(jìn)行過濾，去除其中的HTML標(biāo)簽和JavaScript代碼；PHP中可以使用strip_tags()函數(shù)去除HTML標(biāo)簽；JavaScript中可以使用innerHTML屬性去除HTML標(biāo)簽，使用encodeURI()函數(shù)編碼URL等。例如使用strip_tags()函數(shù)去除HTML標(biāo)簽：對用戶輸入進(jìn)行處理01$email

=

"";if

(!filter_var($email,

FILTER_VALIDATE_EMAIL))

{

echo

"Invalid

email

format";}驗證輸入數(shù)據(jù)：在接收到用戶輸入后，應(yīng)該對其進(jìn)行驗證，確保其符合預(yù)期的格式和類型。例如，對于輸入的郵件地址，可以使用PHP的filter_var()函數(shù)進(jìn)行驗證；對于輸入的日期，可以使用JavaScript的Date對象進(jìn)行驗證。例如使用filter_var()函數(shù)驗證輸入的郵件地址：對用戶輸入進(jìn)行處理01$input

=

"<script>alert('XSS');</script>";$output

=HTMLspecialchars($input,

ENT_QUOTES,

'UTF-8');echo

$output;

//

輸出:

<script>alert('XSS');</script>轉(zhuǎn)義輸出數(shù)據(jù)：在將用戶輸入輸出到頁面上時，應(yīng)該將其中的特殊字符進(jìn)行轉(zhuǎn)義，避免被瀏覽器誤解為HTML標(biāo)簽或JavaScript代碼。在PHP中，可以使用HTMLspecialchars()函數(shù)將HTML特殊字符進(jìn)行轉(zhuǎn)義；在JavaScript中，可以使用innerText屬性或document.createTextNode()方法將文本內(nèi)容進(jìn)行轉(zhuǎn)義。例如使用HTMLspecialchars()函數(shù)將特殊字符轉(zhuǎn)義成HTML實體：使用內(nèi)容安全策略02Content-Security-Policy:

default-src

'self';

script-src

'self'

;

object-src

'none'內(nèi)容安全策略（ContentSecurityPolicy，CSP）是一種現(xiàn)代的防御跨站腳本攻擊的方式。CSP允許網(wǎng)站管理員指定允許加載的內(nèi)容的來源，從而防止惡意腳本或其他不受信任的內(nèi)容加載到頁面上。在使用CSP時，需要添加一個Content-Security-Policy標(biāo)頭到HTTP響應(yīng)中。該標(biāo)頭指定允許加載的內(nèi)容源（例如script-src、style-src、font-src等），并指定是否允許內(nèi)聯(lián)腳本。以下是一個示例CSP標(biāo)頭。上面的例子限制了所有資源的來源必須是當(dāng)前域名（'self'），并且允許從

加載JavaScript文件，而不允許加載任何插件使用安全Cookie03<?php//

設(shè)置Cookiesetcookie('cookie_name',

'cookie_value',

time()+3600,

'/',

'',

true,

true);Cookie是一個常見的用于存儲用戶會話信息的機(jī)制，但是Cookie也存在安全風(fēng)險。攻擊者可以通過劫持Cookie來冒充用戶，或者通過修改Cookie來實現(xiàn)其他攻擊。為了保護(hù)Cookie，可以使用安全Cookie，也稱為HTTP-onlyCookie。安全Cookie只能通過HTTP請求訪問，無法通過客戶端腳本（如Javascript）訪問。這樣可以防止跨站腳本攻擊等攻擊方式。在PHP中，可以通過setcookie()函數(shù)來設(shè)置安全Cookie。下面是一個設(shè)置安全Cookie的例子：課堂實踐一、任務(wù)名稱：檢測利用跨站腳本漏洞并進(jìn)行修復(fù)二、任務(wù)內(nèi)容：審計項目四任務(wù)一所開發(fā)的博客系統(tǒng)文章發(fā)布和評論發(fā)布功能代碼，找出跨站腳本漏洞并對代碼進(jìn)行修改三、工具需求：瀏覽器、Vscode、Apache、MySQL、PHP四、任務(wù)要求：小組實操后輪流進(jìn)行展示，老師進(jìn)行點評。課堂思考一、反射型XSS可以采取哪些方法偽裝釣魚鏈接？二、PHP中有哪些函數(shù)被用于防范XSS漏洞？三、反射型XSS和存儲型XSS