也谈跨站脚本攻击与防御之XSS

核心提示： 呵呵，还是执行了哦!在做关键字过滤之后有人发现是不是属性之间分隔要用到空格，也谈跨站脚本攻击与防御之XSS(4)，好，他们把空格堵死了(这样认为的人很多，本文没什么技术含量，只是希望搞安全的脚本人员能更加的了解Xss，呵呵)!将空格转成 是个很普遍的方法?是么?甚至还可以让别人无法关键字拆

呵呵，还是执行了哦!在做关键字过滤之后有人发现是不是属性之间分隔要用到空格，好，他们把空格堵死了(这样认为的人很多，呵呵)!将空格转成 是个很普遍的方法?是么?甚至还可以让别人无法关键字拆分，不要太自信了，试试下面的代码看看如何:

以下是引用片段：
＜img src="#"/**/onerror=alert(/xss/) width=100＞

嘿嘿，Good Work!这好象是利用了脚本里注释会被当作一个空白来表示造成的!那怎么办呢?上面提到的好象一直都是在进行被动的攻击防御，为什么不抓住他的本源出来呢?哪里出了问题哪里堵上!

上面的问题好象本质上就是一个东西，那就是用户超越了他所处的标签，也就是数据和代码的混淆，对付这种混淆的办法就是限制监牢，让用户在一个安全的空间内活动，这通过上面的分析大家也可能已经知道，只要在过滤了<>这两个人人都会去杀的字符之后就可以把用户的输入在输出的时候放到""之间，现在的一般的程序都是这样做的，譬如将会转化成 以下是引用片段：
＜img src="http://www.loveshell.net"＞　　这是个好的安全习惯，然后呢?就要让用户的输入处在安全的领域里了，这可以通过过滤用户输入里""实现，但是不要忘记了，这个标签本身也是不安全的，过滤掉空格和tab键就不用担心关键字被拆分饶过了，然后就是用文章中提到的办法过滤掉script关键字，最后就是防止用户通过&#这样的形式饶过检查，转换掉&吧!

在文章中开始提到的图里可以看到，数据的转换和过滤是可以在3个地方进行转换的，在接受数据的时候可以转换下，在进入数据库的时候可以转换下，在输出数据的时候也可以转换下，但是困惑在哪里呢?不得不面对一个问题就是许多时候程序员舍不得为安全做出那么大的应用上的牺牲，安全是要有代价的，譬如现在邮箱的就不愿意舍弃html标签，所以他们侧重于XSS的IDS检测的性质，只要发现不安全的东西就会转化，但是攻击是无法预知的，漂亮的东西总是脆弱的，有限制，肯定就有人会饶过，呵呵。本文没什么技术含量，只是希望搞安全的脚本人员能更加的了解Xss，跨站，不是那么简单滴.