摘要:劫持用戶是最常見的跨站攻擊形式,通過在網頁中寫入并執行腳本執行文件多數情況下是腳本代碼,劫持用戶瀏覽器,將用戶當前使用的信息發送至攻擊者控制的網站或服務器中。預防將錄入的惡意標簽進行轉碼再存儲,主要在后端錄入的時候做。
xss定義
Cross Site Scripting的縮寫本來是CSS,但是這樣就跟Cascading Style Sheets的縮寫混淆了,所以使用XSS,使用字母X更庫,而且更貼切的反應這是一種惡意攻擊技術,中文名稱是“跨站腳本攻擊”。
原理概要:某個惡意用戶發現一個網站存在XSS漏洞,該用戶向此網站上傳內容時,例如,提交表單,在表單中填寫的不是正常的內容,而是填寫惡意的Javascript代碼或者能夠造成網站頁面中的HTML標簽被惡意閉合的內容,這樣其他用戶瀏覽該頁面時,嵌入其中的Javascript代碼被執行或者由于惡意標簽閉合造成頁面邏輯的改變,都可以被利用達到攻擊的目的。
造成的危害對于那些半年沒有更新的小企業網站來說,發生XSS漏洞幾乎沒有什么用
但是在各類的社交平臺,郵件系統,開源流行的Web應用,BBS,微博等場景中,造成的殺傷力卻十分強大。
劫持用戶cookie是最常見的跨站攻擊形式,通過在網頁中寫入并執行腳本執行文件(多數情況下是JavaScript腳本代碼),劫持用戶瀏覽器,將用戶當前使用的sessionID信息發送至攻擊者控制的網站或服務器中。
又可以稱為“框架釣魚”。利用JS腳本的基本功能之一:操作網頁中的DOM樹結構和內容,在網頁中通過JS腳本,生成虛假的頁面,欺騙用戶執行操作,而用戶所有的輸入內容都會被發送到攻擊者的服務器上。
掛馬(水坑攻擊)
有局限性的鍵盤記錄
......
假如我有一個顯示用戶名的區域通過ajax獲取數據然后動態innerHTML插入到一個div里顯示。代碼如下(偽代碼)
這時圖片不存在就會執行oneror事件,彈出“hello world”;如果他執行一個請求將你的cookie發給惡意網站,那你的登陸信息就全丟了。當然可以干任何他想做的事了。
以上只是舉了一種xss的攻擊方式。
將錄入的惡意標簽進行轉碼再存儲,主要在后端錄入的時候做。前端做意義不大。 當然前端可以在展示數據的時候進行標簽轉碼,可以做到雙保險。
以下是一個工具支持前端和nodejs使用。https://jsxss.com/zh/index.html
其他后端語言如java,php都有對應的函數類使用。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11403.html
摘要:劫持用戶是最常見的跨站攻擊形式,通過在網頁中寫入并執行腳本執行文件多數情況下是腳本代碼,劫持用戶瀏覽器,將用戶當前使用的信息發送至攻擊者控制的網站或服務器中。預防將錄入的惡意標簽進行轉碼再存儲,主要在后端錄入的時候做。 xss定義 Cross Site Scripting的縮寫本來是CSS,但是這樣就跟Cascading Style Sheets的縮寫混淆了,所以使用XSS,使用字母X...
摘要:禁止內聯腳本執行規則較嚴格,目前發現使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯網的發展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天一起...
摘要:禁止內聯腳本執行規則較嚴格,目前發現使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯網的發展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天...
閱讀 1673·2021-11-15 11:38
閱讀 4514·2021-09-22 15:33
閱讀 2332·2021-08-30 09:46
閱讀 2176·2019-08-30 15:43
閱讀 827·2019-08-30 14:16
閱讀 2069·2019-08-30 13:09
閱讀 1255·2019-08-30 11:25
閱讀 701·2019-08-29 16:42