成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

20170812-XSS跨站腳本攻擊

894974231 / 506人閱讀

摘要:跨站腳本攻擊跨站腳本攻擊為了不和層疊樣式表縮寫混淆,所以將跨站腳本攻擊縮寫為。而始終被蒙在鼓里。大大增強(qiáng)了網(wǎng)頁的安全性減少注意這里是減少而不是消滅跨站腳本攻擊。

XSS跨站腳本攻擊:

XSS 跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets,CSS)縮寫混淆, 所以將跨站腳本攻擊縮寫為XSS。 XSS是攻擊者在web頁面插入惡意的代碼。當(dāng)用戶瀏覽該頁面時,代碼執(zhí)行,從而實現(xiàn)攻擊目的。對受害用戶可能采取Cookie資料竊取、會話劫持、釣魚欺騙等各種攻擊

XSS跨站腳本攻擊分為:反射型(非持久型XSS)和持久型

反射型XSS:

用戶點擊攻擊鏈接,服務(wù)器解析響應(yīng),在返回的響應(yīng)內(nèi)容中出現(xiàn)攻擊者的XSS代碼,被瀏覽器執(zhí)行。這樣,XSS攻擊腳本被web server反射回來給瀏覽器執(zhí)行,所以稱為反射型XSS

正常鏈接,點擊后會在頁面顯示hello 用戶名
http://xxx.com?username=yang

頁面輸出
hello yang

如果我把上面的url變成這樣,同時服務(wù)器沒有做過濾
http://xxx.com?username=

頁面會出現(xiàn)彈框,顯示xss;可能會在上面的腳本中加入其它更加復(fù)雜的腳本
持久型XSS:

攻擊者在相關(guān)頁面輸入惡意的腳本數(shù)據(jù)后,惡意腳本會被存放到到服務(wù)器的數(shù)據(jù)庫。用戶瀏覽頁面時,會從數(shù)據(jù)庫中查詢數(shù)據(jù),數(shù)據(jù)在頁面的顯示導(dǎo)致該惡意腳本會在頁面中執(zhí)行,瀏覽此頁面的用戶就可能受到攻擊。這個流程簡單可以描述為:惡意用戶的Html輸入Web程序->進(jìn)入數(shù)據(jù)庫->Web程序->用戶瀏覽器。

例如: 惡意用戶 H 提交評論,然后用戶 B 來訪問網(wǎng)站,這段腳本會在B的瀏覽器直接執(zhí)行,惡意用戶 H 的腳本就可以任意操作 B 的 cookie,而 B 對此毫無察覺。有了 cookie,惡意用戶 H 就可以偽造 B 的登錄信息,隨意訪問 B 的隱私了。而 B 始終被蒙在鼓里。

DOM-based XSS

基于DOM的XSS,也就是web server不參與,僅僅涉及到瀏覽器的XSS。比如根據(jù)用戶的輸入來動態(tài)構(gòu)造一個DOM節(jié)點,如果沒有對用戶的輸入進(jìn)行過濾,那么也可能導(dǎo)致XSS攻擊的產(chǎn)生。

XSS的防御

XSS出現(xiàn)的原因是:在用戶輸入的時候沒有做嚴(yán)格的過濾,在輸出內(nèi)容到瀏覽器頁面時,也沒有進(jìn)行檢查、轉(zhuǎn)移和替換

使用XSS Filter

輸入過濾,對用戶提交的數(shù)據(jù)進(jìn)行有效性驗證,僅接受指定長度范圍內(nèi)并符合我們期望格式的的內(nèi)容提交,阻止或者忽略除此外的其他任何數(shù)據(jù)。

DOM型的XSS型防御:

把變量輸出到頁面時要做好相關(guān)的編碼轉(zhuǎn)義工作,如要輸出到

通過HTML的標(biāo)簽。

參考 
http://www.imooc.com/article/...

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/54417.html

相關(guān)文章

  • 《網(wǎng)絡(luò)黑白》一書所抄襲的文章列表

    摘要:網(wǎng)絡(luò)黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯(lián)網(wǎng)上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內(nèi)容全都是大量的科普,不涉及技術(shù)也沒有干貨。 《網(wǎng)絡(luò)黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯(lián)網(wǎng)上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內(nèi)容全都是大量的科普,不涉及技術(shù)...

    zlyBear 評論0 收藏0

  • XSS跨站腳本攻擊

    摘要:三攻擊分類反射型又稱為非持久性跨站點腳本攻擊,它是最常見的類型的。存儲型又稱為持久型跨站點腳本,它一般發(fā)生在攻擊向量一般指攻擊代碼存儲在網(wǎng)站數(shù)據(jù)庫,當(dāng)一個頁面被用戶打開的時候執(zhí)行。例如,當(dāng)錯誤,就會執(zhí)行事件利用跨站。 一、簡介 XSS(cross site script)是指惡意攻擊者利用網(wǎng)站沒有對用戶提交數(shù)據(jù)進(jìn)行轉(zhuǎn)義處理或者過濾不足的缺點,進(jìn)而添加一些代碼,嵌入到web頁面中去。使別...

    BingqiChen 評論0 收藏0

  • XSS跨站腳本攻擊

    摘要:三攻擊分類反射型又稱為非持久性跨站點腳本攻擊,它是最常見的類型的。存儲型又稱為持久型跨站點腳本,它一般發(fā)生在攻擊向量一般指攻擊代碼存儲在網(wǎng)站數(shù)據(jù)庫,當(dāng)一個頁面被用戶打開的時候執(zhí)行。例如,當(dāng)錯誤,就會執(zhí)行事件利用跨站。 一、簡介 XSS(cross site script)是指惡意攻擊者利用網(wǎng)站沒有對用戶提交數(shù)據(jù)進(jìn)行轉(zhuǎn)義處理或者過濾不足的缺點,進(jìn)而添加一些代碼,嵌入到web頁面中去。使別...

    zsirfs 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<