WEB开发网
开发学院网络安全黑客技术 温柔的杀手——跨站ASP Script攻击 阅读

温柔的杀手——跨站ASP Script攻击

 2006-11-06 19:58:24 来源:WEB开发网   
核心提示: 四、16进制编码的ActiveX Script 攻击要把用心不良的标签和script区分出来是一件非常困难的事,Script还可以16进制的形式把自己藏起来,温柔的杀手——跨站ASP Script攻击(5),让我们看看下面这个E-mail范例好吗?它是以16进制的形式被发送出去的: 这几乎

四、16进制编码的ActiveX Script 攻击
  要把用心不良的标签和script区分出来是一件非常困难的事。Script还可以16进制的形式把自己藏起来。让我们看看下面这个E-mail范例好吗?它是以16进制的形式被发送出去的:

这几乎是一封完整的邮件,里面包含了以16进制伪造的URL参数:sender=mynicesite.com。当用户点击链接时,用户的浏览器就会直接开始第一例所说的处理过程而弹出警告窗口。

第二部分:跨站Script攻击的防犯

一、如何避免服务器受到跨站Script的攻击

值得庆幸的是,防止跨站Script攻击的技术正趋于完善。目前可采取这几种方式来防止跨站Script的攻击:

1.对动态生成的页面的字符进行编码

你们首先要采用的就是对动态生成页面的字符进行编码,你必须这样做,不然黑客很有可能更改你的字符设置而轻易地通过你的防线。如果我们的网站是个英语网站,这样只要我们把字符编码设成拉丁字符ISO-8859-1就行了,具体情况如下:

<META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">

2.过滤和限制所有输入的数据

这是防止跨站Script的攻击的第二种方法,在进行登录的时侯,不要让那些特殊的字符也输入进去。因此我们可在ONSUBMIT方法中加入JAVASCRIPT程序来完成这个功能。在本例中我们限制最多只能输入15个字符。这样可以阻止那些较长的script的输入。

在<<Knowledge Base Article QA252985>>这本书中微软提供了一个简短的Javascript程序来完成对输入数据的过滤。我们也根据具体情况引进了这段代码用于我们的例子中,如:

上一页  1 2 3 4 5 6 7 8 9  下一页

Tags:温柔 杀手 ASP

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接