网站XSS漏洞解决修复方案

时间 : 2020-11-26 13:53:46 浏览量 : 64

在公司做过网站维护的朋友们肯定都遇到过被攻击的事,其中出现概率比较大多第漏洞应该就有xss跨站脚本漏洞?那什么是xss呢,简单说就是攻击者对网站代码进行攻击检测,将XSS攻击代码注入前端输入的地方,写入网站,使用户访问网站时自动加载恶意JS代码并执行。通过XSS跨站点漏洞,他们可以获取网站用户的cookies和seeion来窃取用户帐户密码等攻击。很多客户收到了网络警察发来的信息安全等级保护网站漏洞整改函,称该网站存在XSS跨站漏洞。鉴于这种情况,让我们深入了解XSS以及如何修复此漏洞。


网站XSS漏洞解决修复方案


XSS攻击可以分为几种类型,即存储XSS、反射XSS和DOM  XSS。为了快速让大家理解这些专业术语,我可以很轻松的给大家介绍一下。存储型XSS将恶意代码存储到网站中,比如将恶意JS代码注入到网站的留言板、新闻、提交功能中,当客户访问网站时会触发JS恶意代码。这种类型目前也是攻击比较常见的。


DOM型XSS,是反射XSS的另一种表现形式,根据Dom文档对象调用JS脚本实现攻击,大多数DOM篡改DOM属性执行攻击命令。具体的发作症状如下:


攻击者可以利用XSS漏洞从网站后台管理员处获取cookie,利用cookie伪造登录后台,获取管理员权限,查看更多用户隐私,对网站进行解除权限、上传webshell等操作,对网站的危害极大。网站负责人要注意这个问题的严重性。如果出了问题,信息安全等级保护的惩罚将得不偿失。


XSS攻击漏洞解决修复方案

记住两个原则:过滤输入和转义输出。

具体实现方法如下:

首先,在输入方面,所有用户提交可靠的输入验证,包括URL、查询关键字、http头、帖子数据等等

其次,在输出方面,用户的输入内容中使用了标签。标签中的内容不会被解释,而是直接显示。

第三,严格控制输入的字符数。

四、在脚本执行区,应该没有用户输入。


网站XSS漏洞解决修复方案


xss漏洞修复具体操作如下:可以利用下面这些函数对出现xss漏洞的参数进行过滤

PHP的htmlentities()或是htmlspecialchars()。

Python的cgi.escape()。

ASP的Server.HTMLEncode()。

ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library

Java的xssprotect(Open Source Library)。

Node.js的node-validator。


除了以上从代码层面处理,还可以使用具有安全防护功能第cdn服务,资金允许也可以使用收费第waf或网络安全防护设备。





标签:网站XSS漏洞解决修复方案
相关新闻
业务咨询及商务合作请联系