Red de conocimiento informático - Material del sitio web - Cómo defenderse adecuadamente contra ataques XSS

Cómo defenderse adecuadamente contra ataques XSS

Técnicas de defensa tradicionales

2.1.1 Defensa basada en características

La defensa XSS tradicional utiliza la coincidencia de características para comprobar si toda la información enviada coincide. Para este tipo de ataque XSS, el método de coincidencia de patrones generalmente requiere buscar la palabra clave "javascript". Una vez que se descubre que la información enviada contiene "javascript", se identificará como XSS.

2.1.2 Defensa basada en modificación de código

Al igual que la defensa por inyección SQL, los ataques XSS también aprovechan la negligencia en la escritura de páginas web, por lo tanto, desde la perspectiva del desarrollo de aplicaciones web. Todavía hay otra forma de evitarlo:

1. Realice una validación de entrada confiable en todo el contenido enviado por el usuario (incluidas URL, claves de consulta, información del encabezado HTTP, datos POST, etc.) y solo acepte entradas. dentro del contenido del rango de longitud especificado, enviarse en el formato apropiado, utilizar los caracteres esperados y filtrar el resto del contenido.

2. Implementar etiquetas de sesión, sistemas CAPTCHA o inspecciones de encabezados HTTP para evitar que los sitios web de terceros realicen funciones.

3. Asegúrese de que el contenido entrante esté correctamente canonicalizado para que contenga solo un marcado de seguridad mínimo (sin javascript), elimine cualquier referencia al contenido remoto (especialmente hojas de estilo y javascript) y utilice cookies HTTP únicamente.

Por supuesto, el método anterior reducirá la disponibilidad del sistema empresarial web.

Por supuesto, el método anterior reducirá la usabilidad del sistema empresarial web. Los usuarios solo pueden ingresar una pequeña cantidad de caracteres formateados y la interacción entre los humanos y el sistema se reducirá al mínimo. Es imposible comenzar. Además, este método sólo es adecuado para sitios web de información.

Y dado que muy pocos programadores web tienen capacitación formal en seguridad, puede resultar difícil evitar las vulnerabilidades XSS en sus páginas.

Extensión:.

El daño de los ataques XSS incluye

1. Robar varios tipos de cuentas de usuario, como cuentas de inicio de sesión de máquinas, cuentas bancarias en línea de usuarios y varios tipos de cuentas de administrador.

2. Controlar los datos empresariales, incluida la capacidad de leer, manipular, agregar y eliminar datos empresariales confidenciales

3. Robar datos empresariales importantes y valiosos

4. datos corporativos valiosos

5. Robar datos corporativos importantes y valiosos

6. Robar datos corporativos importantes y valiosos

7. p>