摘要:劫持用戶是最常見(jiàn)的跨站攻擊形式,通過(guò)在網(wǎng)頁(yè)中寫入并執(zhí)行腳本執(zhí)行文件多數(shù)情況下是腳本代碼,劫持用戶瀏覽器,將用戶當(dāng)前使用的信息發(fā)送至攻擊者控制的網(wǎng)站或服務(wù)器中。預(yù)防將錄入的惡意標(biāo)簽進(jìn)行轉(zhuǎn)碼再存儲(chǔ),主要在后端錄入的時(shí)候做。
xss定義
Cross Site Scripting的縮寫本來(lái)是CSS,但是這樣就跟Cascading Style Sheets的縮寫混淆了,所以使用XSS,使用字母X更庫(kù),而且更貼切的反應(yīng)這是一種惡意攻擊技術(shù),中文名稱是“跨站腳本攻擊”。
原理概要:某個(gè)惡意用戶發(fā)現(xiàn)一個(gè)網(wǎng)站存在XSS漏洞,該用戶向此網(wǎng)站上傳內(nèi)容時(shí),例如,提交表單,在表單中填寫的不是正常的內(nèi)容,而是填寫惡意的Javascript代碼或者能夠造成網(wǎng)站頁(yè)面中的HTML標(biāo)簽被惡意閉合的內(nèi)容,這樣其他用戶瀏覽該頁(yè)面時(shí),嵌入其中的Javascript代碼被執(zhí)行或者由于惡意標(biāo)簽閉合造成頁(yè)面邏輯的改變,都可以被利用達(dá)到攻擊的目的。
造成的危害對(duì)于那些半年沒(méi)有更新的小企業(yè)網(wǎng)站來(lái)說(shuō),發(fā)生XSS漏洞幾乎沒(méi)有什么用
但是在各類的社交平臺(tái),郵件系統(tǒng),開(kāi)源流行的Web應(yīng)用,BBS,微博等場(chǎng)景中,造成的殺傷力卻十分強(qiáng)大。
劫持用戶cookie是最常見(jiàn)的跨站攻擊形式,通過(guò)在網(wǎng)頁(yè)中寫入并執(zhí)行腳本執(zhí)行文件(多數(shù)情況下是JavaScript腳本代碼),劫持用戶瀏覽器,將用戶當(dāng)前使用的sessionID信息發(fā)送至攻擊者控制的網(wǎng)站或服務(wù)器中。
又可以稱為“框架釣魚”。利用JS腳本的基本功能之一:操作網(wǎng)頁(yè)中的DOM樹(shù)結(jié)構(gòu)和內(nèi)容,在網(wǎng)頁(yè)中通過(guò)JS腳本,生成虛假的頁(yè)面,欺騙用戶執(zhí)行操作,而用戶所有的輸入內(nèi)容都會(huì)被發(fā)送到攻擊者的服務(wù)器上。
掛馬(水坑攻擊)
有局限性的鍵盤記錄
......
假如我有一個(gè)顯示用戶名的區(qū)域通過(guò)ajax獲取數(shù)據(jù)然后動(dòng)態(tài)innerHTML插入到一個(gè)div里顯示。代碼如下(偽代碼)
這時(shí)圖片不存在就會(huì)執(zhí)行oneror事件,彈出“hello world”;如果他執(zhí)行一個(gè)請(qǐng)求將你的cookie發(fā)給惡意網(wǎng)站,那你的登陸信息就全丟了。當(dāng)然可以干任何他想做的事了。
以上只是舉了一種xss的攻擊方式。
將錄入的惡意標(biāo)簽進(jìn)行轉(zhuǎn)碼再存儲(chǔ),主要在后端錄入的時(shí)候做。前端做意義不大。 當(dāng)然前端可以在展示數(shù)據(jù)的時(shí)候進(jìn)行標(biāo)簽轉(zhuǎn)碼,可以做到雙保險(xiǎn)。
以下是一個(gè)工具支持前端和nodejs使用。https://jsxss.com/zh/index.html
其他后端語(yǔ)言如java,php都有對(duì)應(yīng)的函數(shù)類使用。
博客地址: https://github.com/kokokele/k...文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/108237.html
摘要:劫持用戶是最常見(jiàn)的跨站攻擊形式,通過(guò)在網(wǎng)頁(yè)中寫入并執(zhí)行腳本執(zhí)行文件多數(shù)情況下是腳本代碼,劫持用戶瀏覽器,將用戶當(dāng)前使用的信息發(fā)送至攻擊者控制的網(wǎng)站或服務(wù)器中。預(yù)防將錄入的惡意標(biāo)簽進(jìn)行轉(zhuǎn)碼再存儲(chǔ),主要在后端錄入的時(shí)候做。 xss定義 Cross Site Scripting的縮寫本來(lái)是CSS,但是這樣就跟Cascading Style Sheets的縮寫混淆了,所以使用XSS,使用字母X...
摘要:防范措施轉(zhuǎn)義驗(yàn)證用戶輸入攻擊指跨域請(qǐng)求偽造,這是一種近年來(lái)才逐漸被大眾了解的攻擊方式。防范措施正確使用方法令牌效驗(yàn)其中令牌是比較常用的方法,具體做法是在表單提交中添加一些偽隨機(jī)數(shù),即令牌,這里我們就不詳細(xì)展開(kāi)。 簡(jiǎn)單總結(jié)一下日常web開(kāi)發(fā)中會(huì)出現(xiàn)的一些安全問(wèn)題,以Flask框架為例 注入攻擊(Injection) 注入攻擊主要包括系統(tǒng)命令注入,SQL注入,NoSQL注入,和ORM注入等...
摘要:禁止內(nèi)聯(lián)腳本執(zhí)行規(guī)則較嚴(yán)格,目前發(fā)現(xiàn)使用。典型的攻擊流程受害者登錄站點(diǎn),并保留了登錄憑證。站點(diǎn)接收到請(qǐng)求后,對(duì)請(qǐng)求進(jìn)行驗(yàn)證,并確認(rèn)是受害者的憑證,誤以為是無(wú)辜的受害者發(fā)送的請(qǐng)求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯(lián)網(wǎng)的發(fā)展,各種Web應(yīng)用變得越來(lái)越復(fù)雜,滿足了用戶的各種需求的同時(shí),各種網(wǎng)絡(luò)安全問(wèn)題也接踵而至。作為前端工程師的我們也逃不開(kāi)這個(gè)問(wèn)題,今天一起...
摘要:禁止內(nèi)聯(lián)腳本執(zhí)行規(guī)則較嚴(yán)格,目前發(fā)現(xiàn)使用。典型的攻擊流程受害者登錄站點(diǎn),并保留了登錄憑證。站點(diǎn)接收到請(qǐng)求后,對(duì)請(qǐng)求進(jìn)行驗(yàn)證,并確認(rèn)是受害者的憑證,誤以為是無(wú)辜的受害者發(fā)送的請(qǐng)求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯(lián)網(wǎng)的發(fā)展,各種Web應(yīng)用變得越來(lái)越復(fù)雜,滿足了用戶的各種需求的同時(shí),各種網(wǎng)絡(luò)安全問(wèn)題也接踵而至。作為前端工程師的我們也逃不開(kāi)這個(gè)問(wèn)題,今天...
閱讀 2652·2021-09-09 09:33
閱讀 2810·2019-08-30 15:54
閱讀 2867·2019-08-30 14:21
閱讀 2356·2019-08-29 17:15
閱讀 3580·2019-08-29 16:13
閱讀 2759·2019-08-29 14:21
閱讀 3422·2019-08-26 13:25
閱讀 2028·2019-08-26 12:14