成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

XSS攻擊之竊取Cookie

DesGemini / 2308人閱讀

摘要:年月,遭到了攻擊,這個事件足以警示我們。自從年雙十一正式上線,累計處理了億錯誤事件,付費客戶有金山軟件百姓網(wǎng)等眾多品牌企業(yè)。

譯者按: 10 年前的博客似乎有點老了,但是XSS 攻擊的威脅依然還在,我們不得不防。

原文: XSS - Stealing Cookies 101

譯者: Fundebug

本文采用意譯,版權(quán)歸原作者所有

竊取Cookie是非常簡單的,因此不要輕易相信客戶端所聲明的身份。即便這個Cookie是在數(shù)秒之前驗證過,那也未必是真的,尤其當你僅使用Cookie驗證客戶端的時候。

2006 年 1 月,LiveJournal遭到了XSS攻擊,這個事件足以警示我們。還有,2006 年 10 月,MySapce也遭到了XSS攻擊,這告訴我們必須非常謹慎地過濾用戶發(fā)布的文本,因為黑客可以在文本中摻雜一些 JavaScript 代碼,以此竊取登陸用戶的Cookie。

正如黑客攻擊LiveJournal那樣,你不需要在登陸用戶的瀏覽器進行任何操作,而可以在第三方進行所有操作。更糟糕的是,竊取Cookie事實上操作起來非常簡單,但是防范起來卻非常困難。

下面的的 JavaScript 代碼就可以竊取Cookie,是不是很簡單?

如果我可以將這段代碼插入到某個登陸用戶的頁面,則Cookie就會通過 HTTP 請求發(fā)送給我,然后我就可以偽造那個可憐的登陸用戶了!

在 IE 瀏覽器上,可以通過在 CSS 代碼中執(zhí)行 JavaScript 來竊取Cookie,也很簡單。


如果你對用戶發(fā)布的文本內(nèi)容不進行嚴格的過濾的話,黑客就可以很方便地竊取Cookie。是不是很可怕?如果你是一個負責任的開發(fā)者的話,你就應該保持警惕!因此,你必須假設所有用戶的Cookie都被竊取了。注意,是所有用戶,對于這一點,我不想含糊其辭。

為了保證安全:請不停地重設session的重設;將過期時間設置短一些;監(jiān)控referreruserAgent的值;使用HttpOnly禁止腳本讀取Cookie。這些措施并非萬無一失,但是增加了黑客的難度,因此也是有效的。

如果你對MySapce遭到的XSS攻擊不了解,可以查看黑客本人公開的技術細節(jié),很有趣,不過切勿模仿,因為他為自己的行為此付出了不小的代價:三年內(nèi)被禁止使用電腦!

參考鏈接

9.3 避免 XSS 攻擊

Technical explanation of The MySpace Worm

Account Hijackings Force LiveJournal Changes

關于Fundebug

Fundebug專注于JavaScript、微信小程序、微信小游戲、支付寶小程序、React Native、Node.js和Java線上應用實時BUG監(jiān)控。 自從2016年雙十一正式上線,F(xiàn)undebug累計處理了10億+錯誤事件,付費客戶有Google、360、金山軟件、百姓網(wǎng)等眾多品牌企業(yè)。歡迎大家免費試用!

版權(quán)聲明

轉(zhuǎn)載時請注明作者Fundebug以及本文地址:
https://blog.fundebug.com/2017/08/16/xss_steal_cookie/

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11290.html

相關文章

  • 【面試篇】寒冬求職你必須要懂的Web安全

    摘要:禁止內(nèi)聯(lián)腳本執(zhí)行規(guī)則較嚴格,目前發(fā)現(xiàn)使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發(fā)送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯(lián)網(wǎng)的發(fā)展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網(wǎng)絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天一起...

    yeyan1996 評論0 收藏0
  • 【面試篇】寒冬求職你必須要懂的Web安全

    摘要:禁止內(nèi)聯(lián)腳本執(zhí)行規(guī)則較嚴格,目前發(fā)現(xiàn)使用。典型的攻擊流程受害者登錄站點,并保留了登錄憑證。站點接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是無辜的受害者發(fā)送的請求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯(lián)網(wǎng)的發(fā)展,各種Web應用變得越來越復雜,滿足了用戶的各種需求的同時,各種網(wǎng)絡安全問題也接踵而至。作為前端工程師的我們也逃不開這個問題,今天...

    charles_paul 評論0 收藏0
  • 競爭激烈的互聯(lián)網(wǎng)時代,是否需要注重一下WEB安全?

    摘要:前言一直以來自己對安全方面的知識了解的比較少,最近有點閑工夫了解了一下。攻擊的一般是由服務端解決。攻擊條件登錄受信任網(wǎng)站,并在本地生成。驗證對所有引用對象的授權(quán)。 前言 一直以來自己對WEB安全方面的知識了解的比較少,最近有點閑工夫了解了一下。也是為了以后面試吧,之前就遇到過問WEB安全方面的問題,答的不是很理想,所以整理了一下! 一、XSS攻擊 跨站腳本攻擊(Cross Site Sc...

    SnaiLiu 評論0 收藏0
  • 競爭激烈的互聯(lián)網(wǎng)時代,是否需要注重一下WEB安全?

    摘要:前言一直以來自己對安全方面的知識了解的比較少,最近有點閑工夫了解了一下。攻擊的一般是由服務端解決。攻擊條件登錄受信任網(wǎng)站,并在本地生成。驗證對所有引用對象的授權(quán)。 前言 一直以來自己對WEB安全方面的知識了解的比較少,最近有點閑工夫了解了一下。也是為了以后面試吧,之前就遇到過問WEB安全方面的問題,答的不是很理想,所以整理了一下! 一、XSS攻擊 跨站腳本攻擊(Cross Site ...

    Andrman 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<