Web安全与防护 （微课版） 课件 04-3 项目四 任务三四 跨站脚本漏洞修复与防范

项目四

安全的用户输入Web安全与防护本任务要点学习目标检测和利用跨站脚本漏洞熟悉跨站脚本漏洞的检测方法熟悉跨站脚本漏洞的利用方法任务三

跨站脚本漏洞检测与验证目录CONTENTS01/检测跨站脚本漏洞02/利用跨站脚本漏洞检测跨站脚本漏洞01（1）在应用程序中找到一个输入字段，例如搜索框、评论框或联系表单。输入一些HTML或JavaScript代码，例如：<script>alert('XSS');</script>

（2）提交输入并观察浏览器中是否弹出了一个警告框。如果弹出了警告框，说明应用程序中存在跨站脚本漏洞。（3）如果没有弹出警告框，尝试在输入中添加一些其他恶意代码，例如cookie窃取脚本、重定向脚本或恶意HTML标签。观察是否能够成功执行这些代码。（4）如果没有发现跨站脚本漏洞，请尝试在其他输入字段中进行类似的测试。例如，如果应用程序包含一个上传文件功能，则可以尝试上传包含恶意脚本的HTML文件。如果无法手动检测跨站脚本漏洞，可以使用自动化工具来扫描应用程序。常见的跨站脚本扫描工具包括OWASPZAP、Netsparker、Acunetix、BurpSuite等。利用跨站脚本漏洞02（1）窃取用户会话令牌或其他敏感信息。攻击者可以编写JavaScript代码来获取当前用户的cookie，然后将该cookie发送到攻击者的服务器。攻击者可以使用窃取的cookie登录用户的帐户，并执行其他恶意操作。（2）修改网页内容。攻击者可以注入恶意脚本来更改网页内容，例如添加广告、修改表单字段或注入其他恶意代码。（3）欺骗用户。攻击者可以注入恶意脚本来模拟合法的网页内容，例如伪造登录表单、模拟警告框或创建虚假的链接。项目四

安全的用户输入Web安全与防护本任务要点学习目标对跨站脚本漏洞进行修复和防范熟悉跨站脚本漏洞的修复防范方法任务四

跨站脚本漏洞修复与防范目录CONTENTS01/对用户输入进行处理02/使用内容安全策略03/使用安全Cookie对用户输入进行处理01$input

=

"<script>alert('XSS');</script>";$output

=

strip_tags($input);echo

$output;

//

输出:

alert('XSS');过滤输入数据：对于用户输入的数据，可以使用过滤器或正则表达式等方法进行过滤，去除其中的HTML标签和JavaScript代码；PHP中可以使用strip_tags()函数去除HTML标签；JavaScript中可以使用innerHTML属性去除HTML标签，使用encodeURI()函数编码URL等。例如使用strip_tags()函数去除HTML标签：对用户输入进行处理01$email

=

"";if

(!filter_var($email,

FILTER_VALIDATE_EMAIL))

{

echo

"Invalid

email

format";}验证输入数据：在接收到用户输入后，应该对其进行验证，确保其符合预期的格式和类型。例如，对于输入的邮件地址，可以使用PHP的filter_var()函数进行验证；对于输入的日期，可以使用JavaScript的Date对象进行验证。例如使用filter_var()函数验证输入的邮件地址：对用户输入进行处理01$input

=

"<script>alert('XSS');</script>";$output

=HTMLspecialchars($input,

ENT_QUOTES,

'UTF-8');echo

$output;

//

输出:

<script>alert('XSS');</script>转义输出数据：在将用户输入输出到页面上时，应该将其中的特殊字符进行转义，避免被浏览器误解为HTML标签或JavaScript代码。在PHP中，可以使用HTMLspecialchars()函数将HTML特殊字符进行转义；在JavaScript中，可以使用innerText属性或document.createTextNode()方法将文本内容进行转义。例如使用HTMLspecialchars()函数将特殊字符转义成HTML实体：使用内容安全策略02Content-Security-Policy:

default-src

'self';

script-src

'self'

;

object-src

'none'内容安全策略（ContentSecurityPolicy，CSP）是一种现代的防御跨站脚本攻击的方式。CSP允许网站管理员指定允许加载的内容的来源，从而防止恶意脚本或其他不受信任的内容加载到页面上。在使用CSP时，需要添加一个Content-Security-Policy标头到HTTP响应中。该标头指定允许加载的内容源（例如script-src、style-src、font-src等），并指定是否允许内联脚本。以下是一个示例CSP标头。上面的例子限制了所有资源的来源必须是当前域名（'self'），并且允许从

加载JavaScript文件，而不允许加载任何插件使用安全Cookie03<?php//

设置Cookiesetcookie('cookie_name',

'cookie_value',

time()+3600,

'/',

'',

true,

true);Cookie是一个常见的用于存储用户会话信息的机制，但是Cookie也存在安全风险。攻击者可以通过劫持Cookie来冒充用户，或者通过修改Cookie来实现其他攻击。为了保护Cookie，可以使用安全Cookie，也称为HTTP-onlyCookie。安全Cookie只能通过HTTP请求访问，无法通过客户端脚本（如Javascript）访问。这样可以防止跨站脚本攻击等攻击方式。在PHP中，可以通过setcookie()函数来设置安全Cookie。下面是一个设置安全Cookie的例子：课堂实践一、任务名称：检测利用跨站脚本漏洞并进行修复二、任务内容：审计项目四任务一所开发的博客系统文章发布和评论发布功能代码，找出跨站脚本漏洞并对代码进行修改三、工具需求：浏览器、Vscode、Apache、MySQL、PHP四、任务要求：小组实操后轮流进行展示，老师进行点评。课堂思考一、反射型XSS可以采取哪些方法伪装钓鱼链接？二、PHP中有哪些函数被用于防范XSS漏洞？三、反射型XSS和存储型XSS