關(guān)于 XSS攻擊

2019-11-12    seo達(dá)人

XSS攻擊是什么

簡(jiǎn)介

攻擊原理

例子

防御方法

簡(jiǎn)介

XSS(Cross Site Scripting, 跨站腳本攻擊)又稱(chēng)是 CSS, 在 Web攻擊中比較常見(jiàn)的方式, 通過(guò)此攻擊可以控制用戶(hù)終端做一系列的惡意操作, 如 可以盜取, 篡改, 添加用戶(hù)的數(shù)據(jù)或誘導(dǎo)到釣魚(yú)網(wǎng)站等

攻擊原理

比較常見(jiàn)的方式是利用未做好過(guò)濾的參數(shù)傳入一些腳本語(yǔ)言代碼塊通常是 JavaScript, PHP, Java, ASP, Flash, ActiveX等等, 直接傳入到頁(yè)面或直接存入數(shù)據(jù)庫(kù)通過(guò)用戶(hù)瀏覽器閱讀此數(shù)據(jù)時(shí)可以修改當(dāng)前頁(yè)面的一些信息或竊取會(huì)話(huà)和 Cookie等, 這樣完成一次 XSS攻擊

例子

http://example.com/list?memo=<script>alert(“Javascript代碼塊”)</script>

http://example.com/list?memo=&lt;strong οnclick=‘a(chǎn)lert(“驚喜不斷”)’>誘惑點(diǎn)擊語(yǔ)句</strong>

http://example.com/list?memo=&lt;img src=’./logo.jpg’ οnclick=‘location.href=“https://blog.csdn.net/qcl108”;’/&gt;

以上例子只是大概描述了方式, 在實(shí)際攻擊時(shí)代碼不會(huì)如此簡(jiǎn)單

防御方法

防止 XSS安全漏洞主要依靠程序員較高的編程能力和安全意識(shí)

去掉任何對(duì)遠(yuǎn)程內(nèi)容的引用 如 樣式或 JavaScript等

Cookie內(nèi)不要存重要信息為了避免 Cookie被盜, 最好 Cookie設(shè)置 HttpOnly屬性防止 JavaScript腳本讀取 Cookie信息

不要信任用戶(hù)的輸入, 必須對(duì)每一個(gè)參數(shù)值做好過(guò)濾或轉(zhuǎn)譯: (& 轉(zhuǎn)譯后 &amp;), (< 轉(zhuǎn)譯后 &lt;), (> 轉(zhuǎn)譯后 &gt;), (" 轉(zhuǎn)譯后 &quot;), (\ 轉(zhuǎn)譯后 &#x27;), (/ 轉(zhuǎn)譯后 &#x2F;), (;)等


日歷

鏈接

個(gè)人資料

存檔