摘要:劫持用戶是最常見的跨站攻擊形式�,通過在網(wǎng)頁中寫入并執(zhí)行腳本執(zhí)行文件多數(shù)情況下是腳本代碼�,劫持用戶瀏覽器����,將用戶當(dāng)前使用的信息發(fā)送至攻擊者控制的網(wǎng)站或服務(wù)器中。預(yù)防將錄入的惡意標(biāo)簽進(jìn)行轉(zhuǎn)碼再存儲����,主要在后端錄入的時候做。
xss定義
Cross Site Scripting的縮寫本來是CSS�����,但是這樣就跟Cascading Style Sheets的縮寫混淆了���,所以使用XSS���,使用字母X更庫,而且更貼切的反應(yīng)這是一種惡意攻擊技術(shù)����,中文名稱是“跨站腳本攻擊”。
原理概要:某個惡意用戶發(fā)現(xiàn)一個網(wǎng)站存在XSS漏洞���,該用戶向此網(wǎng)站上傳內(nèi)容時����,例如,提交表單���,在表單中填寫的不是正常的內(nèi)容�,而是填寫惡意的Javascript代碼或者能夠造成網(wǎng)站頁面中的HTML標(biāo)簽被惡意閉合的內(nèi)容����,這樣其他用戶瀏覽該頁面時,嵌入其中的Javascript代碼被執(zhí)行或者由于惡意標(biāo)簽閉合造成頁面邏輯的改變���,都可以被利用達(dá)到攻擊的目的��。
造成的危害
對于那些半年沒有更新的小企業(yè)網(wǎng)站來說��,發(fā)生XSS漏洞幾乎沒有什么用
但是在各類的社交平臺�,郵件系統(tǒng)�,開源流行的Web應(yīng)用,BBS�,微博等場景中����,造成的殺傷力卻十分強(qiáng)大����。
劫持用戶cookie是最常見的跨站攻擊形式����,通過在網(wǎng)頁中寫入并執(zhí)行腳本執(zhí)行文件(多數(shù)情況下是JavaScript腳本代碼),劫持用戶瀏覽器���,將用戶當(dāng)前使用的sessionID信息發(fā)送至攻擊者控制的網(wǎng)站或服務(wù)器中�。
又可以稱為“框架釣魚”����。利用JS腳本的基本功能之一:操作網(wǎng)頁中的DOM樹結(jié)構(gòu)和內(nèi)容,在網(wǎng)頁中通過JS腳本����,生成虛假的頁面,欺騙用戶執(zhí)行操作�����,而用戶所有的輸入內(nèi)容都會被發(fā)送到攻擊者的服務(wù)器上���。
掛馬(水坑攻擊)
有局限性的鍵盤記錄
......
實踐注入xss
假如我有一個顯示用戶名的區(qū)域通過ajax獲取數(shù)據(jù)然后動態(tài)innerHTML插入到一個div里顯示����。代碼如下(偽代碼)
這時圖片不存在就會執(zhí)行oneror事件,彈出“hello world”��;如果他執(zhí)行一個請求將你的cookie發(fā)給惡意網(wǎng)站����,那你的登陸信息就全丟了。當(dāng)然可以干任何他想做的事了���。
以上只是舉了一種xss的攻擊方式��。
預(yù)防xss
將錄入的惡意標(biāo)簽進(jìn)行轉(zhuǎn)碼再存儲���,主要在后端錄入的時候做。前端做意義不大�。 當(dāng)然前端可以在展示數(shù)據(jù)的時候進(jìn)行標(biāo)簽轉(zhuǎn)碼,可以做到雙保險�����。
以下是一個工具支持前端和nodejs使用�����。https://jsxss.com/zh/index.html
其他后端語言如java����,php都有對應(yīng)的函數(shù)類使用。
博客地址: https://github.com/kokokele/k...
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11403.html
