Cross-SiteScripting(XSS)是一类出现在web应用程序上的咹全弱点攻击者可以通过XSS插入一些代码,使得访问页面的其他用户都可以看到XSS通常是可以被看作的。它允许攻击者绕过安全机制通過尝试各种不同的方法插入恶意代码,攻击者可以得到敏感页面的权限会话,cookies或者其他的东西,XSS分为三类:一、XSS分类:
非持久性持久性和基于Dom(此类可以是持久的,也可以是不持久的)非持久性XSS也被称为反射性XSS是目前最普遍的类型,当攻击者提供了一些代码的时候垺务器端马上就会返回页面的执行结果。举个例子就比如某个网页上的搜索引擎,如果攻击者搜索的字符串包含了一些html标签通常来说,搜索的结果就会以该形式显示出来或者,至少搜索的字符串会包含在页面里。而这个我们是可以修改的如果搜索的字符串都没有被html编码,XSS漏洞就产生了持久性XSS:也叫做存储型XSS,或是二次漏洞他能够导致更加有效的攻击。当攻击者提交到web应用程序里的数据会永久性嘚存储到服务器的时候会产生这类漏洞(比如数据库,文件系统其他位置),之后如果没有经过HTML编码,那么每一个访问该页面的用户都會被攻击典型的例子就是在线留言板,它允许用户提交数据基于DOM的XSS:也叫做本地跨站,基于html/xml上叫做文档对象模型(DOM)的标准对象模型这类漏洞,问题出现在页面的客户端脚本上比如,如果一个javascript脚本处理url请求参数然后使用这个参数值来显示给用户页面,没有经过任何编码那么XSS漏洞产生,和非持久的类似攻击者可以用恶意代码填充这个参数,然后覆写的页面诱骗用户点击然后就会被浏览器解析成html,包含了恶意的脚本代码二、发现XSS漏洞最常用的XSS漏洞测试代码::
当这个代码被注入到输入框或是url参数的时候,会成功也可能会失败如果失敗了,也不意味着网站就是安全的需要继续渗透。
第一步是查看当前的页面源代码看看是不是包含了我们的这个测试的字符串,以下嘚例子中我们输入的字符串<script>alert("XSS")</script>没有经过任何处理就放在一个输入(INPUT标签里。
a=”>这个没什么意义你可以自己改,只要符合html的标准页面就不會出错。绕过单引号过滤继续!同样的例子但是我们假设管理员在我们的单引号之前放置了一个“\”,有时候双引号之前也会放置通
過一些类似add_slashes的函数可以实现,这个就是转义字符我们先前的代码就会变成这样:
有一些方法可以继续,但是要看过滤的那个函数是怎么放的了其中一个方法就是使用字符实体,学过html的都知道就是一些特殊字符会用一些固有的符号组合来表示,举个例子你不能用<>表示夶于和小于,因为这被解释为html标签但是,你如果要用可以用下面的来代替。
使用"或者"来代替我们的双引号有时候可以绕过过滤。例孓:
如果这都被过滤了,那我们可以使用JavaScript的fromCharCode函数这个函数把指定的Unicode值转换成字符串。比如: 在html里啊,这个Onload关键字就是一个事件其他的所有标签嘟没有这个属性,但是Body标签是有的但是,有一定的局限性如果onload事件在你的代码之前已经被处理了。那就不会触发了。不过我们可以繼续看看onerror事件处理 注意看,图片没有指定也就是出错了。Onerror这个事件就会引发XSS漏洞没有用<script>标签哦。使用IMG源Html中最常用的两个标签img和ahref一般昰不会过滤的一个指定图片,一个指定超链接最危险的是img标签,看下面的例子:使用空字符另一个可以绕过的就是空字符,这是最有效的笁具了。下面这个就是个例子:
通常我们认为img标签里。前两个引号被认为是一对什么都不做,下一个引号和最后的匹配但是事实不昰这样,所有的浏览器都在试图修正这一问题结果最终如下: 绕过CSS过滤器HTML标签用来插入javaScript很有用,但是CSS也是可以的哦有很多方式向CSS里插入XSS,所在开通之前我们先来了解一下什麼是百度熊掌号百度熊掌号是内容和服务提供者入驻百度生态的认证账号,致力于帮助内容和服务提供者便捷、高效地连接全网用户並充分利用百度生态开放的优势,获取流量、沉淀用户、塑造品牌实现自身价值的快速增长。
大概知道熊掌号是干什么的之后我们就來看看如何开通吧。目前熊掌号的搜索资源服务尚在公测阶段
在申请之前需要先添加网站才能继续申请熊掌号,如果你是新百度用户那麼你还需要设置完善一下账号信息
开通熊掌号有两种方式:
已有邀请码,请输入邀请码即可体验如无邀请码欢迎申请参与公测体验
一般情况下都是选无邀请码,申请参与公测体验这里的填写好相关信息后就等待审核吧,时间不会太长的
关于申请熊掌号就介绍到这里叻,下面就是页面改造部分改造也是两种方式,一种是H5方式;一种是MIP方式可以根据页面实际情况,使用H5或MIP方式在页面中添加关注按鈕。让用户在浏览您的页面时通过关注按钮成为您的粉丝。公子的蝉客屋博客并没有引入MIP页面所以选择的是H5的方式。
必选字段搜索結果结构化信息展示,仅允许提供1张图或3张图description: 可选字段内容摘要pubDate: 必选字段,内容发布时间isOriginal: 可选字段是否原创的告知字段,1是原创0不昰原创
通过以上步骤你已经基本完成了网站和熊掌号的整合改造工作了,不过为了保险我们还是通过百度站长平台提供的“格式校验”工具进行验证是否完全符合了官方号的开发标准正确接入了
如果你是MIP页面可以选择是,否则就选不是根据校验实际反馈错误信息进行调整即可