.net 跨站脚本攻击(XSS)漏洞的解决方案
.net 跨站脚本攻击(XSS)漏洞的解决方案
描述:
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie
2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。
解决方案:
1、避免XSS的 *** 之一主要是将用户所提供的内容输入输出进行过滤。ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library。
2、整体网站的过滤处理,下面是通用处理 *** 。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
|
public class safe_process
{
private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
public static bool PostData()
{
bool result = false;
for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
{
result = CheckData(HttpContext.Current.Request.Form[i].ToString());
if (result)
{
break;
}
}
return result;
}
public static bool GetData()
{
bool result = false;
for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
{
result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
if (result)
{
break;
}
}
return result;
}
public static bool CookieData()
{
bool result = false;
for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
{
result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
if (result)
{
break;
}
}
return result;
}
public static bool referer()
{
bool result = false;
return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
}
public static bool CheckData(string inputData)
{ if (Regex.IsMatch(inputData, StrRegex))
{
return true;
}
else
{
return false;
}
}
}
|
在Global.asax中的Application_BeginRequest中调用上面的 *** 进行处理,代码如下:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
|
protected void Application_BeginRequest(Object sender, EventArgs e)
{
string q = "<div style='position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;'><br>您的提交带有不合法参数!</div>";
if (Request.Cookies != null)
{
if (SteelMachining.Common.safe_360.CookieData())
{
Response.Write(q);
Response.End();
}
}
if (Request.UrlReferrer != null)
{
if (SteelMachining.Common.safe_360.referer())
{
Response.Write(q);
Response.End();
}
}
if (Request.RequestType.ToUpper() == "POST")
{
if (SteelMachining.Common.safe_360.PostData())
{
Response.Write(q);
Response.End();
}
}
if (Request.RequestType.ToUpper() == "GET")
{
if (SteelMachining.Common.safe_360.GetData())
{
Response.Write(q);
Response.End();
}
}
}
|
操作大致如此,具体可根据你的网站进行修改。
实践是检验真理的唯一标准,希望能帮助到大家!
相关文章
我的Windows2008的ip详细地址是192.168
因为端口转发的牵涉到的专业知识和专用工具过多,因此大家分篇数而言,这篇主要讲讲该机的2个端口号中间怎样相互之间分享?里面的技术性倒是非常简单,你不用担心你学不懂。 因为端口转发一般是分...
Maltego的典型性主要用途是啥?
什么叫Maltego? Maltego由Paterva开发设计,是用以开源系统调查取证和智能化的专用工具。其重中之重是出示一个变换库,用以发觉来源于不一样开源系统的数据信息,并将该大数据可视化为适用...
TamperData是否适用全部电脑操作系统?
什么叫Tamper Data? Tamper Data是Mozilla Firefox拓展,能够在推送HTTP恳求以前改动和查询HTTP恳求。它将显示信息Web电脑浏览器意味着您推送的数据信息,比如...
全新提权免杀asp木马病毒
一个能够绕开当今目前市面上基本上全部Webshell查杀的免杀PHP一句话木马脚本制作。...
NoScript是不是适用全部电脑操作系统?
什么叫NoScript? NoScript或有时候称之为NoScript Security Suite是为Mozilla Firefox,SeaMonkey和别的根据Mozilla的Web电脑浏览器...
黑客攻击电子邮件常用方法
黑客攻击电子邮件常用方法:毫无疑问,电子邮件是当今世界上使用最频繁的商务通信工具,据可靠统计显示,目前全球每天的电子邮件发送量已超过500亿条,预计到2008年该数字将增长一倍。 电子邮件的持续升温...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!