資訊專欄INFORMATION COLUMN
摘要:跨站腳本攻擊跨站腳本攻擊為了不和層疊樣式表縮寫混淆,所以將跨站腳本攻擊縮寫為。而始終被蒙在鼓里。大大增強了網頁的安全性減少注意這里是減少而不是消滅跨站腳本攻擊。
XSS跨站腳本攻擊:
XSS 跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets,CSS)縮寫混淆, 所以將跨站腳本攻擊縮寫為XSS。 XSS是攻擊者在web頁面插入惡意的代碼。當用戶瀏覽該頁面時,代碼執行,從而實現攻擊目的。對受害用戶可能采取Cookie資料竊取、會話劫持、釣魚欺騙等各種攻擊
XSS跨站腳本攻擊分為:反射型(非持久型XSS)和持久型
反射型XSS:用戶點擊攻擊鏈接,服務器解析響應,在返回的響應內容中出現攻擊者的XSS代碼,被瀏覽器執行。這樣,XSS攻擊腳本被web server反射回來給瀏覽器執行,所以稱為反射型XSS
正常鏈接,點擊后會在頁面顯示hello 用戶名 http://xxx.com?username=yang 頁面輸出 hello yang 如果我把上面的url變成這樣,同時服務器沒有做過濾 http://xxx.com?username= 頁面會出現彈框,顯示xss;可能會在上面的腳本中加入其它更加復雜的腳本持久型XSS:
攻擊者在相關頁面輸入惡意的腳本數據后,惡意腳本會被存放到到服務器的數據庫。用戶瀏覽頁面時,會從數據庫中查詢數據,數據在頁面的顯示導致該惡意腳本會在頁面中執行,瀏覽此頁面的用戶就可能受到攻擊。這個流程簡單可以描述為:惡意用戶的Html輸入Web程序->進入數據庫->Web程序->用戶瀏覽器。
例如: 惡意用戶 H 提交評論,然后用戶 B 來訪問網站,這段腳本會在B的瀏覽器直接執行,惡意用戶 H 的腳本就可以任意操作 B 的 cookie,而 B 對此毫無察覺。有了 cookie,惡意用戶 H 就可以偽造 B 的登錄信息,隨意訪問 B 的隱私了。而 B 始終被蒙在鼓里。
DOM-based XSS基于DOM的XSS,也就是web server不參與,僅僅涉及到瀏覽器的XSS。比如根據用戶的輸入來動態構造一個DOM節點,如果沒有對用戶的輸入進行過濾,那么也可能導致XSS攻擊的產生。
XSS的防御XSS出現的原因是:在用戶輸入的時候沒有做嚴格的過濾,在輸出內容到瀏覽器頁面時,也沒有進行檢查、轉移和替換
使用XSS Filter輸入過濾,對用戶提交的數據進行有效性驗證,僅接受指定長度范圍內并符合我們期望格式的的內容提交,阻止或者忽略除此外的其他任何數據。
DOM型的XSS型防御:把變量輸出到頁面時要做好相關的編碼轉義工作,如要輸出到
通過HTML的標簽。
參考http://www.imooc.com/article/...
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/54417.html
摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...
摘要:三攻擊分類反射型又稱為非持久性跨站點腳本攻擊,它是最常見的類型的。存儲型又稱為持久型跨站點腳本,它一般發生在攻擊向量一般指攻擊代碼存儲在網站數據庫,當一個頁面被用戶打開的時候執行。例如,當錯誤,就會執行事件利用跨站。 一、簡介 XSS(cross site script)是指惡意攻擊者利用網站沒有對用戶提交數據進行轉義處理或者過濾不足的缺點,進而添加一些代碼,嵌入到web頁面中去。使別...
閱讀 1025·2022-07-19 10:19
閱讀 1799·2021-09-02 15:15
閱讀 1013·2019-08-30 15:53
閱讀 2659·2019-08-30 13:45
閱讀 2658·2019-08-26 13:57
閱讀 1987·2019-08-26 12:13
閱讀 1010·2019-08-26 10:55
閱讀 551·2019-08-26 10:46
