转载

使用HTTP Headers防御WEB攻击(Part2)

在前一篇文章《 使用HTTP Headers防御WEB攻击(Part1) 》中我们了解到如何使用X-Frame选项防御点击劫持攻击。在本文中我们将会讨论另外一个HTTP Header选项,X-XSS-Protection。和前一篇文章类似,我们会先看看漏洞网页然后再使用这个HTTP头选项来防御。

从源码分析

设置与前一篇文章类似,用户成功登录之后会出现一个控制台界面,这里可以进行搜索,如下代码即实现代码:

<?php session_start(); session_regenerate_id(); if(!isset($_SESSION['admin_loggedin'])) {  header('Location: index.php'); } if(isset($_GET['search'])) {  if(!empty($_GET['search']))  {   $text = $_GET['search'];  }  else  {   $text = "No text Entered";  } } ?> <!DOCTYPE html> <html>  <head>   <meta charset="UTF-8">   <title>Admin Home</title>   <link rel="stylesheet" href="styles.css">  </head>  <body>   <div id="home"><center>   </br><legend><text id=text><text id="text2">Welcome to Dashboard...</text></br></br> You are logged in as: <?php echo $_SESSION['admin_loggedin']; ?> <a href="logout.php">[logout]</a></text></legend></br>   <form action="" method="GET">    <div id="search">    <text id="text">Search Values</text><input type="text" name="search" id="textbox"></br></br>    <input type="submit" value="Search" name="Search" id="but"/>    <div id="error"><text id="text2">You Entered:</text><?php echo $text; ?></div>    </div>   </form></center>  </div>  </body> </html>

从上面的代码中,我们可以看到应用程序没有对用户输入进行过滤而留下了漏洞。

接着,我们从HTTP响应头信息中看到应用程序没有任何额外的保护机制。

HTTP/1.1 200 OK Date: Sun, 12 Apr 2015 14:53:37 GMT Server: Apache/2.2.29 (Unix) mod_fastcgi/2.4.6 mod_wsgi/3.4 Python/2.7.8 PHP/5.6.2 mod_ssl/2.2.29 OpenSSL/0.9.8y DAV/2 mod_perl/2.0.8 Perl/v5.20.0   X-Powered-By: PHP/5.6.2 Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Set-Cookie: PHPSESSID=f94dc2ac2aa5763c636f9e75365102b5; path=/ Content-Length: 820 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html; charset=UTF-8

测试进行时

在搜索框执行一个简单的JavaScript脚本,看看是否成功执行

使用HTTP Headers防御WEB攻击(Part2)

好吧,我承认这看起来似乎没有成功执行,那就打开控制台看看错误信息吧。

使用HTTP Headers防御WEB攻击(Part2)

从控制台信息中可以看到谷歌Chrome阻止了这个脚本。另外,错误提示信息中指出服务器没有启用X-XSS-Protection或者Content-Security-Policy头。

我们可以通过启用X-XSS-Protection或者Content-Security-Policy头进行过滤。

使用如下代码禁用保护 

header("X-XSS-Protection: 0");

将上面的代码添加进源码 

<?php session_start(); session_regenerate_id(); header("X-XSS-Protection: 0"); if(!isset($_SESSION['admin_loggedin'])) {  header('Location: index.php'); } if(isset($_GET['search'])) {  if(!empty($_GET['search']))  {   $text = $_GET['search'];  }  else  {   $text = "No text Entered";  } } ?> <!DOCTYPE html> <html>  <head>   <meta charset="UTF-8">   <title>Admin Home</title>   <link rel="stylesheet" href="styles.css">  </head>  <body>   <div id="home"><center>   </br><legend><text id=text><text id="text2">Welcome to Dashboard...</text></br></br> You are logged in as: <?php echo $_SESSION['admin_loggedin']; ?> <a href="logout.php">[logout]</a></text></legend></br>   <form action="" method="GET">    <div id="search">    <text id="text">Search Values</text><input type="text" name="search" id="textbox"></br></br>    <input type="submit" value="Search" name="Search" id="but"/>    <div id="error"><text id="text2">You Entered:</text><?php echo $text; ?></div>    </div>   </form></center>  </div>  </body> </html>

再次加载页面,便 会弹出一个警告框

使用HTTP Headers防御WEB攻击(Part2)

在FireFox中进行同样的测试,成功执行。

使用HTTP Headers防御WEB攻击(Part2)

现在将X-XSS-Protection头的值修改为1,再次尝试。

header("X-XSS-Protection: 1");

你能够轻松体会到已经成功开启了X-XSS-Protection。 

HTTP/1.1 200 OK Date: Sun, 12 Apr 2015 14:54:42 GMT Server: Apache/2.2.29 (Unix) mod_fastcgi/2.4.6 mod_wsgi/3.4 Python/2.7.8 PHP/5.6.2 mod_ssl/2.2.29 OpenSSL/0.9.8y DAV/2 mod_perl/2.0.8 Perl/v5.20.0   X-Powered-By: PHP/5.6.2 Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Set-Cookie: PHPSESSID=8dfb86b13ec9750d1f1afdfc004f5042; path=/ X-XSS-Protection: 1 Content-Length: 820 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html; charset=UTF-8

再次在漏洞页面执行JavaScript,脚本不会执行。进入Chrome的控制台,看看发生了什么事

使用HTTP Headers防御WEB攻击(Part2)

从上面的控制台信息中,我们可以得知脚本没有得到执行。 

header("X-XSS-Protection: 1");

上面这个头没有添加其他的参数,仅仅只是阻止脚本的执行。

我们可以添加一些其他参数,比如: 

header("X-XSS-Protection: 1; mode=block");

这时再次测试,浏览器会阻止脚本执行,并且返回一个空白页。

使用HTTP Headers防御WEB攻击(Part2)

下面为HTTP头信息 

HTTP/1.1 200 OK Date: Mon, 13 Apr 2015 09:59:22 GMT Server: Apache/2.2.29 (Unix) mod_fastcgi/2.4.6 mod_wsgi/3.4 Python/2.7.8 PHP/5.6.2 mod_ssl/2.2.29 OpenSSL/0.9.8y DAV/2 mod_perl/2.0.8 Perl/v5.20.0   X-Powered-By: PHP/5.6.2 Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Set-Cookie: PHPSESSID=729f2f716310ccfe353c81ced1602cf0; path=/ X-XSS-Protection: 1; mode=block Content-Length: 846 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html; charset=UTF-8

尽管在一些主流浏览器(IE,Chrome,Safari)中可以完美实现。但在FireFox中并不支持这个头,所以我们仍然可以看到弹出警告框

使用HTTP Headers防御WEB攻击(Part2)

总结

所以,X-XSS-Protection头应该用于深度防御。由于它无法完全保护网站,因此开发者必须确保他们有其他一些手段来进行防护。

* 参考来源 infosecinstitute ,翻译/鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:653 人
  • 运行天数:4,408天
  • 最后更新:2024年11月21日23点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG