国产在线精品91国自产拍免费_ 安全代碼審查.跨站點(diǎn)腳本攻擊(XSS)

只要代碼在返回客戶(hù)端的 HTML 輸出流中使用輸入參數，就很容易受到跨站點(diǎn)腳本（XSS，也稱(chēng) CSS）攻擊。即使在進(jìn)行代碼審查之前，您也可以運行一個(gè)簡(jiǎn)單的測試，來(lái)檢查應用程序是否存在 XSS 缺陷。搜索那些將用戶(hù)輸入信息發(fā)送回瀏覽器的頁(yè)。

XSS 錯誤是在用戶(hù)輸入的數據中保持太多信任的一個(gè)例子。例如，應用程序可能期望用戶(hù)輸入一個(gè)定價(jià)，但是攻擊者會(huì )在定價(jià)之外包含一些 HTML 和 JavaScript 代碼。所以，您應該總是確保對來(lái)自不可信來(lái)源的數據進(jìn)行驗證。在審查代碼時(shí)，總是詢(xún)問(wèn)這樣的問(wèn)題：“這個(gè)數據進(jìn)行驗證了嗎？”在 ASP.NET 應用程序中保存所有入口點(diǎn)（如 HTTP 頭、查詢(xún)字符串、窗體數據等等）的列表，并確保所有輸入都會(huì )在某點(diǎn)受到有效性檢查。不要測試輸入值是否不正確，因為這種方法認為您會(huì )留意所有存在潛在危險的輸入。ASP.NET 應用程序中最常見(jiàn)的檢查數據有效性的方式是使用正則表達式。

您可以通過(guò)在窗體字段中鍵入一些文字（如“XYZ”）并測試輸出，來(lái)進(jìn)行簡(jiǎn)單的測試。如果瀏覽器顯示“XYZ”或者如果查看 HTML 源文件時(shí)看到的是“XYZ”，那么您的 Web 應用程序將很容易受到 XSS 攻擊。如果您需要看到更動(dòng)態(tài)的內容，需要注入 <script>alert('hello');</script>。這種技術(shù)可能無(wú)法在所有情況下都適用，因為它取決于如何使用輸入來(lái)生成輸出。以下過(guò)程有助于識別常見(jiàn)的 XSS 缺陷：

?	標識輸出輸入的代碼。
?	標識有可能存在危險的 HTML 標記和屬性。
?	標識處理 URL 的代碼。
?	檢查輸出是否編碼。
?	檢查字符編碼是否正確。
?	檢查 validateRequest 屬性。
?	檢查HttpOnly cookie 選項。
?	檢查 <frame> 安全屬性。
?	檢查是否使用 innerText 和 innerHTML 屬性。

標識輸出輸入的代碼

從瀏覽器查看頁(yè)輸出的源代碼，看是否您的代碼位于一個(gè)屬性中。如果確實(shí)如此，注入以下代碼并重新測試，以查看輸出。

"onmouseover= alert('hello');"

開(kāi)發(fā)人員常用的一個(gè)技術(shù)是篩選 < and > 字符。如果所審查的代碼篩選了這些字符，那么可以改用以下代碼測試：

&{alert('hello');}

如果代碼不篩選這些字符，那么可以通過(guò)使用以下腳本測試代碼：

<script>alert(document.cookie);</script>;

在使用這個(gè)腳本之前可能必須要添加一個(gè)結束標記，如下所示。

"></a><script>alert(document.cookie);</script>

搜索“.Write”

在 .aspx 源代碼和任何其他為應用程序開(kāi)發(fā)的程序集包含的代碼中搜索“.Write”字符串。這將定位所有出現的 Response.Write，以及任何可能通過(guò)響應對象變量生成輸出的內部例程，如下面所示的代碼。

public void WriteOutput(Response respObj)
            {
            respObj.Write(Request.Form["someField"]);
            }

您還應該在 .aspx 源代碼中搜索 “<%=”字符串，這也可以用來(lái)寫(xiě)輸出，如下所示：

<%=myVariable %>

下表列出了一些常見(jiàn)的結合使用輸入字段和 Response.Write 的情況。

表 1 輸入的可能來(lái)源
輸入來(lái)源	示例
窗體字段	Response.Write(name.Text); Response.Write(Request.Form["name"]);
查詢(xún)字符串	Response.Write(Request.QueryString["name"]);
Cookie	Response.Write( Request.Cookies["name"].Values["name"]);
會(huì )話(huà)變量和應用程序變量	Response.Write(Session["name"]); Response.Write(Application["name"]);
數據庫和數據存儲區	SqlDataReader reader = cmd.ExecuteReader();Response.Write(reader.GetString(1));

標識有可能存在危險的 HTML 標記和屬性

雖然并不全面，但是以下常用的 HTML 標記可能使惡意用戶(hù)可注入腳本代碼：

?	<applet>
?	<body>
?	<embed>
?	<frame>
?	<script>
?	<frameset>
?	<html>
?	<iframe>
?	<img>
?	<style>
?	<layer>
?	<ilayer>
?	<meta>
?	<object>

HTML 屬性（如 src、lowsrc、style 和 href）可以與以上的標記結合使用，導致 XSS 攻擊。

例如，<img> 標記的 src 屬性可能是注入的來(lái)源，如下例中所示。

<IMG SRC="javascript:alert('hello');">
            <IMG SRC="java
script:alert('hello');">
            <IMG SRC="java
script:alert('hello');">

<style> 標記還能通過(guò)改變 MIME 類(lèi)型，成為注入的來(lái)源，如下所示。

<style TYPE="text/javascript">
            alert('hello');
            </style>

檢查是否您的代碼試圖通過(guò)篩選掉一些已知的危險字符來(lái)凈化輸入。不要依賴(lài)此方法，因為惡意用戶(hù)一般可找到替代的表示方法繞過(guò)驗證。相反，您的代碼應該對已知安全的輸入進(jìn)行驗證。下表列出了表示一些常用字符的若干方式：

表 2 字符表示
字符	十進(jìn)制	十六進(jìn)制	HTML 字符集	Unicode
"（雙引號）	"	"	"	\u0022
'（單引號）	'	'	'	\u0027
&（和號）	&	&	&	\u0026
<（小于號）	<	<	<	\u003c
>（大于號）	>	>	>	\u003e

標識處理 URL 的代碼

處理 URL 的代碼可能存在缺陷。審查代碼，看看是否容易受到以下常見(jiàn)攻擊：

如果您的 Web 服務(wù)器沒(méi)有使用最新的安全修補程序更新，它可能遭到目錄遍歷和雙斜杠攻擊，如：

http://www.YourWebServer.com/..%255%../winnt
                        http://www.YourWebServer.com/..%255%..//somedirectory

如果您的代碼篩選了“/”，攻擊者可通過(guò)使用同一字符的替代表示形式，很容易地繞過(guò)篩選器。例如，“/”的超長(cháng) UTF?C8 表示形式是“%c0f%af”，可以用在以下 URL 中：

http://www.YourWebServer.com/..%c0f%af../winnt

如果您的代碼處理查詢(xún)字符串輸入，應該檢查它是否對輸入數據進(jìn)行了限制并執行了邊界檢查。檢查如果攻擊者通過(guò)查詢(xún)字符串參數傳遞非常多的數據，代碼是否不易受到攻擊。

http://www.YourWebServer.com/test.aspx?var=InjectHugeAmountOfDataHere

檢查輸出是否編碼

您應該檢查是否使用 HtmlEncode 對包含所有類(lèi)型輸入的 HTML 輸出進(jìn)行了編碼，雖然這不能替代對輸入是否正確和輸入的格式是否規范的檢查。還要檢查是否使用了 UrlEncode 來(lái)編碼 URL 字符串。輸入數據可能來(lái)自查詢(xún)字符串、窗體字段、cookie、HTTP 頭和從數據庫中讀取的輸入，尤其是在與其他應用程序共享數據庫時(shí)。通過(guò)對數據進(jìn)行編碼，可以防止瀏覽器將 HTML 視為可執行腳本。

檢查字符編碼是否正確

為了幫助防止攻擊者使用規范化和多字節轉義序列欺騙輸入驗證例程，應該檢查字符編碼是否已經(jīng)正確設置以限制表示輸入的方式。

檢查應用程序的 Web.config 文件是否已經(jīng)設置由 <globalization> 元素配置的 requestEncoding 和 responseEncoding 屬性，如下所示。

<configuration>
            <system.web>
            <globalization
            requestEncoding="ISO-8859-1"
            responseEncoding="ISO-8859-1"/>
            </system.web>
            </configuration>

字符編碼還可以使用 <meta> 標記或者 ResponseEncoding 頁(yè)級屬性在頁(yè)級設置，如下所示。

<% @ Page ResponseEncoding="ISO-8859-1" %>

有關(guān)更多信息，請參閱“構建安全的 ASP.NET 頁(yè)和控件”單元。

檢查 validateRequest 屬性

使用 .NET Framework 1.1 版構建的 Web 應用程序執行輸入篩選，以消除潛在的惡意輸入，如嵌入腳本。但不要依賴(lài)這一點(diǎn)，應該使用它作為縱深防范措施。檢查配置文件中的 <pages> 元素，確認 validateRequest 屬性是否已經(jīng)設置為 true。這還可以設置為頁(yè)級屬性。掃描 .aspx 源文件中的 validateRequest，檢查它沒(méi)有為任何頁(yè)設置為 false。

檢查 HttpOnly cookie 選項

Internet Explorer 6 SP 1 支持一個(gè)新的 HttpOnly cookie 屬性，可以防止客戶(hù)端腳本從 document.cookie 屬性訪(fǎng)問(wèn) cookie。這樣返回的將是一個(gè)空的字符串。無(wú)論何時(shí)用戶(hù)瀏覽到當前域中的 Web 站點(diǎn)，仍然發(fā)送 cookie 到服務(wù)器。有關(guān)更多信息，請參閱“構建安全的 ASP.NET 頁(yè)和控件”單元中的“跨站點(diǎn)腳本攻擊”部分。

檢查安全屬性

Internet Explorer 6 和更高版本支持 <frame> 和 <iframe> 元素的一個(gè)新屬性 security。您可以使用 security 屬性將用戶(hù)的受限站點(diǎn) Internet Explorer 安全區域設置應用于單獨的 frame 或者 iframe。有關(guān)更多信息，請參閱“構建安全的 ASP.NET 頁(yè)和控件”單元中的“跨站點(diǎn)腳本攻擊”部分。

檢查是否使用 innerText 和 innerHTML 屬性

如果您創(chuàng )建了一個(gè)帶有不可信輸入的頁(yè)，應該驗證是否使用了 innerText 屬性而非 innerHTML。innerText 屬性可安全呈現內容并確保不會(huì )執行腳本。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久