国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

xss注入實踐和防范

Rango / 1797人閱讀

摘要:劫持用戶是最常見的跨站攻擊形式,通過在網頁中寫入并執行腳本執行文件多數情況下是腳本代碼,劫持用戶瀏覽器,將用戶當前使用的信息發送至攻擊者控制的網站或服務器中。預防將錄入的惡意標簽進行轉碼再存儲,主要在后端錄入的時候做。

xss定義

Cross Site Scripting的縮寫本來是CSS,但是這樣就跟Cascading Style Sheets的縮寫混淆了,所以使用XSS,使用字母X更庫,而且更貼切的反應這是一種惡意攻擊技術,中文名稱是“跨站腳本攻擊”。

原理概要:某個惡意用戶發現一個網站存在XSS漏洞,該用戶向此網站上傳內容時,例如,提交表單,在表單中填寫的不是正常的內容,而是填寫惡意的Javascript代碼或者能夠造成網站頁面中的HTML標簽被惡意閉合的內容,這樣其他用戶瀏覽該頁面時,嵌入其中的Javascript代碼被執行或者由于惡意標簽閉合造成頁面邏輯的改變,都可以被利用達到攻擊的目的。

造成的危害

對于那些半年沒有更新的小企業網站來說,發生XSS漏洞幾乎沒有什么用

但是在各類的社交平臺,郵件系統,開源流行的Web應用,BBS,微博等場景中,造成的殺傷力卻十分強大。

劫持用戶cookie是最常見的跨站攻擊形式,通過在網頁中寫入并執行腳本執行文件(多數情況下是JavaScript腳本代碼),劫持用戶瀏覽器,將用戶當前使用的sessionID信息發送至攻擊者控制的網站或服務器中。

又可以稱為“框架釣魚”。利用JS腳本的基本功能之一:操作網頁中的DOM樹結構和內容,在網頁中通過JS腳本,生成虛假的頁面,欺騙用戶執行操作,而用戶所有的輸入內容都會被發送到攻擊者的服務器上。

掛馬(水坑攻擊)

有局限性的鍵盤記錄
......

實踐注入xss

假如我有一個顯示用戶名的區域通過ajax獲取數據然后動態innerHTML插入到一個div里顯示。代碼如下(偽代碼)

這時圖片不存在就會執行oneror事件,彈出“hello world”;如果他執行一個請求將你的cookie發給惡意網站,那你的登陸信息就全丟了。當然可以干任何他想做的事了。
以上只是舉了一種xss的攻擊方式。

預防xss

將錄入的惡意標簽進行轉碼再存儲,主要在后端錄入的時候做。前端做意義不大。 當然前端可以在展示數據的時候進行標簽轉碼,可以做到雙保險。

以下是一個工具支持前端和nodejs使用。https://jsxss.com/zh/index.html

其他后端語言如java,php都有對應的函數類使用。


博客地址: https://github.com/kokokele/k...

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11403.html

相關文章

  • xss注入實踐防范

    摘要:劫持用戶是最常見的跨站攻擊形式,通過在網頁中寫入并執行腳本執行文件多數情況下是腳本代碼,劫持用戶瀏覽器,將用戶當前使用的信息發送至攻擊者控制的網站或服務器中。預防將錄入的惡意標簽進行轉碼再存儲,主要在后端錄入的時候做。 xss定義 Cross Site Scripting的縮寫本來是CSS,但是這樣就跟Cascading Style Sheets的縮寫混淆了,所以使用XSS,使用字母X...

    JinB 評論0 收藏0
  • Web安全防范

    摘要:防范措施轉義驗證用戶輸入攻擊指跨域請求偽造,這是一種近年來才逐漸被大眾了解的攻擊方式。防范措施正確使用方法令牌效驗其中令牌是比較常用的方法,具體做法是在表單提交中添加一些偽隨機數,即令牌,這里我們就不詳細展開。 簡單總結一下日常web開發中會出現的一些安全問題,以Flask框架為例 注入攻擊(Injection) 注入攻擊主要包括系統命令注入,SQL注入,NoSQL注入,和ORM注入等...

    hightopo 評論0 收藏0
  • 【面試篇】寒冬求職之你必須要懂的Web安全

    摘要:禁止內聯腳本執行規則較嚴格,目前發現使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯網的發展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天一起...

    yeyan1996 評論0 收藏0
  • 【面試篇】寒冬求職之你必須要懂的Web安全

    摘要:禁止內聯腳本執行規則較嚴格,目前發現使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯網的發展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天...

    charles_paul 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<