欧美泳装美女视频,高清美女视频毛片在线,美女视频开放视频

只要代碼在返回客戶端的 HTML 輸出流中使用輸入?yún)?shù)，就很容易受到跨站點(diǎn)腳本（XSS，也稱 CSS）攻擊。即使在進(jìn)行代碼審查之前，您也可以運(yùn)行一個(gè)簡單的測試，來檢查應(yīng)用程序是否存在 XSS 缺陷。搜索那些將用戶輸入信息發(fā)送回瀏覽器的頁。

XSS 錯(cuò)誤是在用戶輸入的數(shù)據(jù)中保持太多信任的一個(gè)例子。例如，應(yīng)用程序可能期望用戶輸入一個(gè)定價(jià)，但是攻擊者會(huì)在定價(jià)之外包含一些 HTML 和 JavaScript 代碼。所以，您應(yīng)該總是確保對(duì)來自不可信來源的數(shù)據(jù)進(jìn)行驗(yàn)證。在審查代碼時(shí)，總是詢問這樣的問題：“這個(gè)數(shù)據(jù)進(jìn)行驗(yàn)證了嗎？”在 ASP.NET 應(yīng)用程序中保存所有入口點(diǎn)（如 HTTP 頭、查詢字符串、窗體數(shù)據(jù)等等）的列表，并確保所有輸入都會(huì)在某點(diǎn)受到有效性檢查。不要測試輸入值是否不正確，因?yàn)檫@種方法認(rèn)為您會(huì)留意所有存在潛在危險(xiǎn)的輸入。ASP.NET 應(yīng)用程序中最常見的檢查數(shù)據(jù)有效性的方式是使用正則表達(dá)式。

您可以通過在窗體字段中鍵入一些文字（如“XYZ”）并測試輸出，來進(jìn)行簡單的測試。如果瀏覽器顯示“XYZ”或者如果查看 HTML 源文件時(shí)看到的是“XYZ”，那么您的 Web 應(yīng)用程序?qū)⒑苋菀资艿?XSS 攻擊。如果您需要看到更動(dòng)態(tài)的內(nèi)容，需要注入 <script>alert('hello');</script>。這種技術(shù)可能無法在所有情況下都適用，因?yàn)樗Q于如何使用輸入來生成輸出。以下過程有助于識(shí)別常見的 XSS 缺陷：

?	標(biāo)識(shí)輸出輸入的代碼。
?	標(biāo)識(shí)有可能存在危險(xiǎn)的 HTML 標(biāo)記和屬性。
?	標(biāo)識(shí)處理 URL 的代碼。
?	檢查輸出是否編碼。
?	檢查字符編碼是否正確。
?	檢查 validateRequest 屬性。
?	檢查HttpOnly cookie 選項(xiàng)。
?	檢查 <frame> 安全屬性。
?	檢查是否使用 innerText 和 innerHTML 屬性。

標(biāo)識(shí)輸出輸入的代碼

從瀏覽器查看頁輸出的源代碼，看是否您的代碼位于一個(gè)屬性中。如果確實(shí)如此，注入以下代碼并重新測試，以查看輸出。

"onmouseover= alert('hello');"

開發(fā)人員常用的一個(gè)技術(shù)是篩選 < and > 字符。如果所審查的代碼篩選了這些字符，那么可以改用以下代碼測試：

&{alert('hello');}

如果代碼不篩選這些字符，那么可以通過使用以下腳本測試代碼：

<script>alert(document.cookie);</script>;

在使用這個(gè)腳本之前可能必須要添加一個(gè)結(jié)束標(biāo)記，如下所示。

"></a><script>alert(document.cookie);</script>

搜索“.Write”

在 .aspx 源代碼和任何其他為應(yīng)用程序開發(fā)的程序集包含的代碼中搜索“.Write”字符串。這將定位所有出現(xiàn)的 Response.Write，以及任何可能通過響應(yīng)對(duì)象變量生成輸出的內(nèi)部例程，如下面所示的代碼。

public void WriteOutput(Response respObj)
            {
            respObj.Write(Request.Form["someField"]);
            }

您還應(yīng)該在 .aspx 源代碼中搜索 “<%=”字符串，這也可以用來寫輸出，如下所示：

<%=myVariable %>

下表列出了一些常見的結(jié)合使用輸入字段和 Response.Write 的情況。

表 1 輸入的可能來源
輸入來源	示例
窗體字段	Response.Write(name.Text); Response.Write(Request.Form["name"]);
查詢字符串	Response.Write(Request.QueryString["name"]);
Cookie	Response.Write( Request.Cookies["name"].Values["name"]);
會(huì)話變量和應(yīng)用程序變量	Response.Write(Session["name"]); Response.Write(Application["name"]);
數(shù)據(jù)庫和數(shù)據(jù)存儲(chǔ)區(qū)	SqlDataReader reader = cmd.ExecuteReader();Response.Write(reader.GetString(1));

標(biāo)識(shí)有可能存在危險(xiǎn)的 HTML 標(biāo)記和屬性

雖然并不全面，但是以下常用的 HTML 標(biāo)記可能使惡意用戶可注入腳本代碼：

?	<applet>
?	<body>
?	<embed>
?	<frame>
?	<script>
?	<frameset>
?	<html>
?	<iframe>
?	<img>
?	<style>
?	<layer>
?	<ilayer>
?	<meta>
?	<object>

HTML 屬性（如 src、lowsrc、style 和 href）可以與以上的標(biāo)記結(jié)合使用，導(dǎo)致 XSS 攻擊。

例如，<img> 標(biāo)記的 src 屬性可能是注入的來源，如下例中所示。

<IMG SRC="javascript:alert('hello');">
            <IMG SRC="java
script:alert('hello');">
            <IMG SRC="java
script:alert('hello');">

<style> 標(biāo)記還能通過改變 MIME 類型，成為注入的來源，如下所示。

<style TYPE="text/javascript">
            alert('hello');
            </style>

檢查是否您的代碼試圖通過篩選掉一些已知的危險(xiǎn)字符來凈化輸入。不要依賴此方法，因?yàn)閻阂庥脩粢话憧烧业教娲谋硎痉椒ɡ@過驗(yàn)證。相反，您的代碼應(yīng)該對(duì)已知安全的輸入進(jìn)行驗(yàn)證。下表列出了表示一些常用字符的若干方式：

表 2 字符表示
字符	十進(jìn)制	十六進(jìn)制	HTML 字符集	Unicode
"（雙引號(hào)）	"	"	"	\u0022
'（單引號(hào)）	'	'	'	\u0027
&（和號(hào)）	&	&	&	\u0026
<（小于號(hào)）	<	<	<	\u003c
>（大于號(hào)）	>	>	>	\u003e

標(biāo)識(shí)處理 URL 的代碼

處理 URL 的代碼可能存在缺陷。審查代碼，看看是否容易受到以下常見攻擊：

如果您的 Web 服務(wù)器沒有使用最新的安全修補(bǔ)程序更新，它可能遭到目錄遍歷和雙斜杠攻擊，如：

http://www.YourWebServer.com/..%255%../winnt
                        http://www.YourWebServer.com/..%255%..//somedirectory

如果您的代碼篩選了“/”，攻擊者可通過使用同一字符的替代表示形式，很容易地繞過篩選器。例如，“/”的超長 UTF?C8 表示形式是“%c0f%af”，可以用在以下 URL 中：

http://www.YourWebServer.com/..%c0f%af../winnt

如果您的代碼處理查詢字符串輸入，應(yīng)該檢查它是否對(duì)輸入數(shù)據(jù)進(jìn)行了限制并執(zhí)行了邊界檢查。檢查如果攻擊者通過查詢字符串參數(shù)傳遞非常多的數(shù)據(jù)，代碼是否不易受到攻擊。

http://www.YourWebServer.com/test.aspx?var=InjectHugeAmountOfDataHere

檢查輸出是否編碼

您應(yīng)該檢查是否使用 HtmlEncode 對(duì)包含所有類型輸入的 HTML 輸出進(jìn)行了編碼，雖然這不能替代對(duì)輸入是否正確和輸入的格式是否規(guī)范的檢查。還要檢查是否使用了 UrlEncode 來編碼 URL 字符串。輸入數(shù)據(jù)可能來自查詢字符串、窗體字段、cookie、HTTP 頭和從數(shù)據(jù)庫中讀取的輸入，尤其是在與其他應(yīng)用程序共享數(shù)據(jù)庫時(shí)。通過對(duì)數(shù)據(jù)進(jìn)行編碼，可以防止瀏覽器將 HTML 視為可執(zhí)行腳本。

檢查字符編碼是否正確

為了幫助防止攻擊者使用規(guī)范化和多字節(jié)轉(zhuǎn)義序列欺騙輸入驗(yàn)證例程，應(yīng)該檢查字符編碼是否已經(jīng)正確設(shè)置以限制表示輸入的方式。

檢查應(yīng)用程序的 Web.config 文件是否已經(jīng)設(shè)置由 <globalization> 元素配置的 requestEncoding 和 responseEncoding 屬性，如下所示。

<configuration>
            <system.web>
            <globalization
            requestEncoding="ISO-8859-1"
            responseEncoding="ISO-8859-1"/>
            </system.web>
            </configuration>

字符編碼還可以使用 <meta> 標(biāo)記或者 ResponseEncoding 頁級(jí)屬性在頁級(jí)設(shè)置，如下所示。

<% @ Page ResponseEncoding="ISO-8859-1" %>

有關(guān)更多信息，請(qǐng)參閱“構(gòu)建安全的 ASP.NET 頁和控件”單元。

檢查 validateRequest 屬性

使用 .NET Framework 1.1 版構(gòu)建的 Web 應(yīng)用程序執(zhí)行輸入篩選，以消除潛在的惡意輸入，如嵌入腳本。但不要依賴這一點(diǎn)，應(yīng)該使用它作為縱深防范措施。檢查配置文件中的 <pages> 元素，確認(rèn) validateRequest 屬性是否已經(jīng)設(shè)置為 true。這還可以設(shè)置為頁級(jí)屬性。掃描 .aspx 源文件中的 validateRequest，檢查它沒有為任何頁設(shè)置為 false。

檢查 HttpOnly cookie 選項(xiàng)

Internet Explorer 6 SP 1 支持一個(gè)新的 HttpOnly cookie 屬性，可以防止客戶端腳本從 document.cookie 屬性訪問 cookie。這樣返回的將是一個(gè)空的字符串。無論何時(shí)用戶瀏覽到當(dāng)前域中的 Web 站點(diǎn)，仍然發(fā)送 cookie 到服務(wù)器。有關(guān)更多信息，請(qǐng)參閱“構(gòu)建安全的 ASP.NET 頁和控件”單元中的“跨站點(diǎn)腳本攻擊”部分。

檢查安全屬性

Internet Explorer 6 和更高版本支持 <frame> 和 <iframe> 元素的一個(gè)新屬性 security。您可以使用 security 屬性將用戶的受限站點(diǎn) Internet Explorer 安全區(qū)域設(shè)置應(yīng)用于單獨(dú)的 frame 或者 iframe。有關(guān)更多信息，請(qǐng)參閱“構(gòu)建安全的 ASP.NET 頁和控件”單元中的“跨站點(diǎn)腳本攻擊”部分。

檢查是否使用 innerText 和 innerHTML 屬性

如果您創(chuàng)建了一個(gè)帶有不可信輸入的頁，應(yīng)該驗(yàn)證是否使用了 innerText 屬性而非 innerHTML。innerText 屬性可安全呈現(xiàn)內(nèi)容并確保不會(huì)執(zhí)行腳本。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看