跳到主要內容

[網路安全]XSS

XSS, Cross-site scripting.

在於未充分檢查使用者輸入的訊息,導致使用者有機會去使用scripting language在server執行程式碼,程式撰寫者必須去檢查使用者的資料格式來避免這個問題。

XSS通常會發生在

1. 使用者的http request未檢查
2. 在web application動態產生網頁時,可能會包含未被檢查的內容
3. 在產生網頁時,並沒有方式讓網頁內容不去執行scripting
4. user在瀏覽 gen出來的網頁時成了內含惡意script的犧牲者

Type 1: Reflected XSS (or Non-Persistent)

就是在http request裡面加入惡意的執行指令,然後在web server回應到使用者的browser執行。

Type 2: Stored XSS (or Persistent)

如果Web Server意外把含有惡意的執行指令碼存在server的storage中,然後在使用者使用服務時,藉機在執行指令以獲得一些敏感的隱私資料。

Type 0: DOM-Based XSS

DOM-Based XSS 就是指網頁上的 JavaScript 在執行過程中,沒有詳細檢查資料使得操作 DOM 的過程代入了惡意指令。

應對之道: 

1. 檢查任何使用者或是Web application所承接近來的input,並檢查裡面有沒有埋藏指令碼。

2. 記得輸出到使用者的response需要經過OWASP的Encoder處理,來避免裡面有駭客埋藏的指令碼。
針對Java的處理Encoder, OWASP的資源提供如下
http://owasp.github.io/owasp-java-encoder/encoder/index.html

標籤:

留言

張貼留言

這個網誌中的熱門文章

[UML]學習筆記-循序圖型(Sequence Diagrams)-8

定義 如果說之前提到的物件圖型是描述一個時間點的系統運作的樣子(memory snapshot),那麼循序圖型就是表示系統要做某件事情的那段時間內,運作的樣子(一個連續的過程)。 循序圖的重點是在描述一件事情,以及系統要完成這件事情的一連串動作,也是一種軟體系統運作的動態圖型。 上圖就是一個循序圖型,而有下圖的解析。循序圖會以做的動作(任務)出發,並列出所以參與到的物件/類別。接下來由上到下就是動作與物件彼此間的順序運作關係。下圖可以清楚展示出物件與類別/任務的互動關係。 循序圖組成的元素 有以下元素組成 -物件節點(Object Node) -生命線(Lifeline) -活化區塊(Activation Box) -訊息(Message) -內部訊息 -解構物件 -迴圈 要建構循序圖,必須要確定要描述的任務為何。 確定任務後,就要列出任務會用到的物件(即為物件節點)。 物件節點 ***************************************************** public class TestThermos {      public static void main(String[] args) {          HotWaterContainer h = new HotWaterContainer( 2 );          CoolWaterContainer c = new CoolWaterContainer( 50 );          ThermosGui g = new ThermosGui();          Thermos t = new Thermos(h, c, g);   ...
張貼留言
閱讀完整內容

[UML]學習筆記-狀態圖型(Statechart Diagrams)-10

定義 狀態圖型主要會應用到軟體系統中,某項任務的生命週期。任務的生命週期中,會有不同的狀態,藉由不同狀態的檢視,可以去檢查任務是否有未考慮的情況或是邏輯的謬誤。 上圖就是表示一個執行緒的生命週期,還有它本身的狀態變化。 另外,狀態的數量必須是有限的。 組成元素 狀態節點(State node) 狀態圖型主要使用兩個特定的符號來表示生命週期的開始與結束。 初始狀態(Initial State),使用實心黑色的圓形。 結束狀態(Final State),使用實心黑色的圓形,外層再包一圈空心的圓形。 除了開始和結束外,狀態節點就是表示生命週期的某一種狀態,它的節點內容包含兩個部分。 名稱區格(Name Compartment) 內部轉換區格(Internal Transition Compartment) 通常內部轉換區格會因簡化而省略。 下圖就是含有內部轉換區格的狀態圖型 接下來仔細解釋名稱區格以及內部轉換區格的定義 名稱區格 名稱區格的文字表示生命週期中的一個狀態,UML的規定並非必填,如果沒有填寫就稱為匿名狀態。 內部轉換區格 內部轉換區格主要用來表示狀態節點內部的轉換狀況,這個地方使用四個標籤來說明進入狀態節點後到離開狀態節點時,狀態節點內會做哪些動作。 entry: 進入狀態節點的動作 exit: 離開狀態節點時的動作 do: 停留在此狀態節點時執行的動作 自訂標籤: 使用下列格式來自訂標籤與動作 其實跟其他標籤格式差不多,除了標籤名稱外,就是有參數可以去填寫。 轉換(Transition) 在狀態圖型中,兩個狀態節點間的標示就稱為「轉換」,用來表示狀態節點間如何轉換過去的。 轉換標示的格式如下。 事件名稱: 通常會是物件/類別的方法名稱 參數: 可選擇性的宣告,就是傳遞給事件的參數 條件: 可選擇性地宣告,用來表示狀態轉換的條件 這邊用個修改紀錄的的狀態圖來做例子。 從這個例子可以看到[update record]的狀態可以經過update的事件後,來到達下一個狀態[record updated] 子狀態(Sub-State) 從之前開飲機的例子來說,狀態圖可以如下圖。 ...
張貼留言
閱讀完整內容

[UML]學習筆記-活動圖型(Activity Diagrams)-11(全系列結束)

定義 活動圖型是用來顯示軟體系統中特定的活動情形,和其他圖型最大的差異,就是它專注在「活動」上面,而不會去理會物件、類別相關的問題。 因此,活動圖型只關心活動的開始、過程、與結束,使用一般流程圖的方式來繪製就可以了。 譬如一個偵測溫度到自動加溫的活動流程。 活動圖型的用途 針對循序圖型中比較複雜的訊息傳遞加以說明 顯示狀態圖裡面較複雜的狀態轉換事件 說明合作圖型裡面的訊息 圖型組成的元素 活動圖型由下列的基本元素組成。 狀態與活動(State and Activity) 轉換(Transition) 分支(Branch) 分歧與結合(Fork and Join) 水道(Swimlane) 狀態與活動 狀態元素其實和狀態圖型中的開始與結束狀態是相同的,而活動則是圓角矩形來表示。 上圖如果轉成程式碼會是下面的樣子 轉換 轉換主要是一個箭號,用來連結活動圖型中的狀態與活動。只有在分支出來的箭頭才會在上面加上說明或是條件。 分支 分支會根據判斷式而導向不同的活動,分支後的轉換就需要加上說明或是條件。 水道 活動圖型中,活動流程可能很單純在一個方法或類別中就完成了,但是也有可能是由不同的角色去一起完成流程。 下圖是一個聊天的程式。 圖中,以Mary發訊息給[Chat Server]的流程來說,就需要使用不同的「水道」來區分不同角色所負責的活動。 水道也可以使用行為者標記來表示角色,這樣可以讓活動圖型更加清楚。像下圖就是是客戶去購買產品的活動流程。裡面的角色就包含了[客戶]、[服務中心]、以及[訂單系統] 分歧與結合 以聊天程式的客戶端來說,其實有同時執行兩個執行緒,一個是sender,用來傳送訊息,一個是receiver,用來接收chat server回傳的訊息,因此可以使用Fork來顯示這種同時進行的活動 在圖中,分岐的表示是使用一條粗黑線來分成兩個執行緒所做的事情。 結合的部分,就是要把分歧的活動再次結合成一個活動的表示方式。 上圖的計算機就是一個結合的典型例子,它裏頭的活動運作的加減乘除活動之後,均會顯示在一個統一的活動(螢幕顯示)上。 程式碼的...
張貼留言
閱讀完整內容