链接或框架注入漏洞原理以及修复方法

漏洞名称:框架注入、链接注入

漏洞描述 :一个框架注入攻击是一个所有基于GUI的浏览器攻击,它包括任何代码如JavaScript,
VBScript(ActivX),Flash,AJAX(html+js+py)。代码被注入是由于脚本没有对它们正确验证,攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。 链接注入 是修改站点内容的行为,其方式为将外部站点的 URL 嵌入其中,或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击的站点中,攻击者便能够以它为平台来启动对其他站点的攻击,以及攻击这个易受攻击的站点本身。

检测条件

1、 Web业务运行正常
2、 被测网站具有交互功能模块,涉及到参数get和post提交等等。

检测方法

1、 如果应用程序使用框架,检查主要浏览器窗口的HTML源代码,其中应包含框架标记(frameset)的代码。通过对网站中的get提交的url中的参数进行框架或者链接注入,如图注入到参数id中后效果:
2、 http://www2.xxx.com/a/index.php?id=Fiframe%3E%3CIFRAME+SRC%3D
%22http%3A%2F%2Fwww.baidu.com%22%3E

链接或框架注入漏洞原理以及修复方法_第1张图片

修复方案

建议过滤所有以下字符:

[1] |(竖线符号)
[2] & (& 符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] '(单引号)
[8] "(引号)
[9] \'(反斜杠转义单引号)
[10] \\"(反斜杠转义引号)
[11] <>(尖括号)
[12] ()(括号)
[13] +(加号)
[14] CR(回车符,ASCII 0x0d)
[15] LF(换行,ASCII 0x0a)
[16] ,(逗号)
[17] \(反斜杠)

你可能感兴趣的:(安全,安全,web安全,网络安全)