JavaScript 注入攻击 - 开源中国社区
JavaScript 注入攻击
铂金小猪 2012年05月19日

JavaScript 注入攻击

铂金小猪 铂金小猪 发布于2012年05月19日 收藏 41 评论 26

有免费的MySQL,为什么还要买? >>>  

什么是 JavaScript 注入攻击?

每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。

客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。

假设正在将以下文本输入到客户反馈表单中:

<script>alert(“Boo!”)</script>

此文本表示显示警告消息框的 JavaScript 脚本。在某人将此脚本提交到客户反馈表单后,消息 Boo! 会在将来任何人访问客户反馈网站时显示

 

的攻击。您可能还认为别人不会通过 JavaScript 注入攻击搞破坏。

现在,您对 JavaScript 注入攻击的第一反应也许是不理会。您可能认为 JavaScript 注入攻击不过是一种 无伤大雅

不幸的是,黑客会通过在网站中注入 JavaScript 进行破坏活动。使用 JavaScript 注入攻击可以执行跨站脚本 (XSS) 攻击。在跨站脚本攻击中,可以窃取保密的用户信息并将信息发送到另一个网站。

例 如,黑客可以使用 JavaScript 注入攻击窃取来自其他用户浏览器的 Cookies 值。如果将敏感信息(如密码、信用卡帐号或社会保险号码)保存在浏览器 Cookies 中,那么黑客可以使用 JavaScript 注入攻击窃取这些信息。或者,如果用户将敏感信息输入到页面的表单字段中,而页面受到 JavaScript 攻击的危害,那么黑客可以使用注入的 JavaScript 获取表单数据并将其发送到另一个网站。

请高度重视。认真对待 JavaScript 注入攻击并保护用户的保密信息。在接下来的两部分中,我们将讨论防止 ASP.NET MVC 应用程序受到 JavaScript 注入攻击的两种技术。

 

方法 1:视图中的 HTML 编码

 

阻止 JavaScript 注入攻击的一种简单方法是重新在视图中显示数据时,用 HTML 编码任何网站用户输入的数据

如:<%=Html.Encode(feedback.Message)%>

使用 HTML 编码一个字符串的含意是什么呢?使用 HTML 编码字符串时,危险字符如 < 和 > 被替换为 HTML 实体,如 &lt; 和 &gt;。所以,当使用 HTML 编码字符串 <script>alert(“Boo!”)</script>时,它将转换为 &lt;script&gt;alert(“Boo!”)&lt;/script&gt;。浏览器在解析编码的字符串时不再执行 JavaScript 脚本。而是显示无害的页面

方法 2:写入数据库之前的 HTML 编码

除了在视图中显示数据时使用 HTML 编码数据,还可以在将数据提交到数据库之前使用 HTML 编码数据。第二种方法正是程序清单 4 中 controller 的情况。

如:

public ActionResult Create(string message) 

// Add feedback 
var newFeedback = new Feedback(); 
newFeedback.Message = Server.HtmlEncode(message); 
newFeedback.EntryDate = DateTime.Now; 
db.Feedbacks.InsertOnSubmit(newFeedback); 
db.SubmitChanges(); 

 

// Redirect
return RedirectToAction(“Index”);
}

请注意,Message 的值在提交到数据库之前是在 Create() 操作中经过 HTML 编码的。当在视图中重新显示 Message 时,Message 被 HTML 编码,因而不会执行任何注入到 Message 中的 JavaScript。

总结

通常,人们喜欢使用本教程中讨论的第一种方法,而不喜欢使用第二种方法。第二种方法的问题在于在数据库中最终会保留 HTML 编码的数据。换言之,数据库中的数据会包含奇怪的字符。这有什么坏处呢?如果需要用除网页以外的形式显示数据库数据,则将遇到问题。例如,不能轻易在 Windows Forms 应用程序中显示数据。

附加:神一般的注入

这是一个有技术含量的号牌遮挡。我们先不说其是不是能奏效,不过,这个创意相当的NB啊。当你驾车通过某些路口时,被摄像头捕捉到你的车牌,通过OCR变成文本(图像识别技术,这里为车牌识别技术),然后他就DROP掉数据库,于是,上图的这个车牌就成了SQL注入。

SQL-injection-attackadjusted.jpg

 

出处 http://www.mhtml5.com/2012/05/4983.html

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:JavaScript 注入攻击
分享
评论(26)
最新评论
0
<script>alert(“Boo!”)</script>
0

引用来自“leo108”的评论

这个真心不叫注入
<script>alert(“Boo!”)</script>
0
<script>alert(“Boo!”)</script>
0
不错啊
0
<script>alert(“Boo!”)</script>
0
我试试osc可以不:
<script>alert(“Boo!”)</script>
0
这个问题需要每个开发人员注意!
0
。。。 我成功的尝试了一次。。。 盗取了用户了(也是我自己的)COOKIE,成功模拟登录了。。。
0
文章亮点有二,一是标题,二是图片(虽然早看过)
0

引用来自“铂金小猪”的评论

引用来自“dd”的评论

引用来自“蟋蟀哥哥”的评论

@铂金小猪 这叫xss.....osc身上都还有的

确实啊,没文化真可怕

额……青年,你说谁呢?我说了只是转载,你懂什么叫转载吗?转载懂不?改了别人的名字还叫转载吗?我不反对喷,但请别乱喷,以后读完文章再喷,没文化真可怕!

说原文标题的作者:)
0

引用来自“dd”的评论

引用来自“蟋蟀哥哥”的评论

@铂金小猪 这叫xss.....osc身上都还有的

确实啊,没文化真可怕

额……青年,你说谁呢?我说了只是转载,你懂什么叫转载吗?转载懂不?改了别人的名字还叫转载吗?我不反对喷,但请别乱喷,以后读完文章再喷,没文化真可怕!
0

引用来自“蟋蟀哥哥”的评论

@铂金小猪 这叫xss.....osc身上都还有的

确实啊,没文化真可怕
0

引用来自“fortomxq”的评论

话说和url注入没啥区别吧,只不过换成js了。如果过滤好的话,还是可以预防的啊!

额,淡定。其实嘛,所有的漏洞都是可以预防的
0
我来试试osc,<script>alert('hello world')</script>
0
话说和url注入没啥区别吧,只不过换成js了。如果过滤好的话,还是可以预防的啊!
0

引用来自“铂金小猪”的评论

引用来自“王振威”的评论

最后的车牌太给力了

是呀,所以我才转这篇文章呢

以后,只要是OCR识别的东西,写SQL注入。呵呵!
0

引用来自“leo108”的评论

这个真心不叫注入

这个真心是注入,不过不是SQL而已,不过我只是转载的··
0
这个真心不叫注入
0

引用来自“王振威”的评论

最后的车牌太给力了

是呀,所以我才转这篇文章呢
0
最后的车牌太给力了
顶部