2019-11-12 seo達人
XSS攻擊是什么
簡介
攻擊原理
例子
防御方法
簡介
XSS(Cross Site Scripting, 跨站腳本攻擊)又稱是 CSS, 在 Web攻擊中比較常見的方式, 通過此攻擊可以控制用戶終端做一系列的惡意操作, 如 可以盜取, 篡改, 添加用戶的數(shù)據(jù)或誘導到釣魚網(wǎng)站等
攻擊原理
比較常見的方式是利用未做好過濾的參數(shù)傳入一些腳本語言代碼塊通常是 JavaScript, PHP, Java, ASP, Flash, ActiveX等等, 直接傳入到頁面或直接存入數(shù)據(jù)庫通過用戶瀏覽器閱讀此數(shù)據(jù)時可以修改當前頁面的一些信息或竊取會話和 Cookie等, 這樣完成一次 XSS攻擊
例子
http://example.com/list?memo=<script>alert(“Javascript代碼塊”)</script>
http://example.com/list?memo=<strong οnclick=‘a(chǎn)lert(“驚喜不斷”)’>誘惑點擊語句</strong>
http://example.com/list?memo=<img src=’./logo.jpg’ οnclick=‘location.href=“https://blog.csdn.net/qcl108”;’/>
以上例子只是大概描述了方式, 在實際攻擊時代碼不會如此簡單
防御方法
防止 XSS安全漏洞主要依靠程序員較高的編程能力和安全意識
去掉任何對遠程內(nèi)容的引用 如 樣式或 JavaScript等
Cookie內(nèi)不要存重要信息為了避免 Cookie被盜, 最好 Cookie設置 HttpOnly屬性防止 JavaScript腳本讀取 Cookie信息
不要信任用戶的輸入, 必須對每一個參數(shù)值做好過濾或轉(zhuǎn)譯: (& 轉(zhuǎn)譯后 &), (< 轉(zhuǎn)譯后 <), (> 轉(zhuǎn)譯后 >), (" 轉(zhuǎn)譯后 "), (\ 轉(zhuǎn)譯后 '), (/ 轉(zhuǎn)譯后 /), (;)等