Web安全与防护 实训指南 4.5XSS漏洞的防范.pdf

XSS漏洞的防范

【实训目的】

1.掌握防范XSS漏洞的原理；

2.针对PHP环境，能够防范XSS漏洞。

【实训步骤】

步骤1、登录DVWA系统。在DVWASecurity当中选择high选项，并提交。

然后选择XSSstored。

步骤2、检测XSS漏洞。在name对话框中输入test2，在message对话框中

输入：xsscriptalert(/xss/)/script，点击SignGuestbook之后，此时，并没有

弹出警告提示框。而是出现如下界面：

图4-16DVWA系统存储型跨站脚本漏洞高安全级别界面

虽然出现xsscriptalert(/xss/)/script，但并没有作为JavaScript代码执

行，说明极有可能被转化为HTML实体。

步骤3、分析源代码。点击页面右下角的ViewSource按钮，可看到如下源代

码：

?php

if(isset($_POST[btnSign]))

{

$message=trim($_POST[mtxMessage]);

$name=trim($_POST[txtName]);

//净化用户输入、编码输出

$message=stripslashes($message);

$message=mysql_real_escape_string($message);

$message=htmlspecialchars($message);

$name=stripslashes($name);

$name=mysql_real_escape_string($name);

$name=htmlspecialchars($name);

$query=INSERTINTOguestbook(comment,name)VALUES

($message,$name);;

$result=mysql_query($query)ordie(pre.mysql_error()./pre);

}

?

用户的输出时，通过htmlspecialchars()函数把用户的输入转换为html实体，

从而导致代码不能当作JavaScript代码执行。

在使用htmlspecialchars()函数时要注意，默认配置不会将单引号()过滤，

如果单引号不被过滤，在特定场景下也会被绕过。htmlspecialchars()函数的语法

如下：

htmlspecialchars(string,flags,character-set,double_encode)

其中第二个参数flags需要重要注意，flags参数对于引号的编码如下：

ENT_COMPAT-默认，仅编码双引号。

ENT_QUOTES-编码双引号和单引号。

ENT_NOQUOTES-不编码任何引号。

默认是只编码双引号的，只有设置了该选项为ENT_QUOTES的时候才会过

滤掉单引号，很多开发者就是因为没有注意到这个参数导致使用

htmlspecialchars()函数过滤XSS时被绕过。

同时，我们还看到还对用户的输入，通过stripslashes（）、

mysql_real_escape_string（）函数做了处理，进一步保证了应用程序不会受到XSS

攻击。

【实训总结】

通过实训可以看到：

1.XSS漏洞常通过对输入进行过滤或者净化，对输出进行编码的方式进行

防范。

2.对于PHP来讲，htmlspecialchars()是常用的编码输出的函数，使用时要注

意，防止采用默认方式；或者与其它函数与mysql_real_escape_string()联合使用。