XSS攻击是怎么来实现的
来源:互联网 发布:王思聪 秦奋 知乎 编辑:程序博客网 时间:2024/06/10 01:35
一.首先,要学会跨站脚本攻击,就要知道XXS攻击的原理是什么。
1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。
其攻击过程如下所示:
A给B发送一个恶意构造了Web的URL。
B点击并查看了这个URL。
恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。
具有漏洞的HTML页面包含了在B电脑本地域执行的JavaScript。
A的恶意脚本可以在B的电脑上执行B所持有的权限下的命令。
2反射式漏洞,这种漏洞和本地利用漏洞有些类似,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。
其攻击过程如下:
A经常浏览某个网站,此网站为B所拥有。B的站点运行A使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)。
C发现B的站点包含反射性的XSS漏洞。
C编写一个利用漏洞的URL,并将其冒充为来自B的邮件发送给A。
A在登录到B的站点后,浏览C提供的URL。
嵌入到URL中的恶意脚本在A的浏览器中执行,就像它直接来自B的服务器一样。此脚本盗窃敏感信息(授权、***、帐号信息等)然后在A完全不知情的情况下将这些信息发送到C的Web站点。
3存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,骇客将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。
其攻击过程如下:
B拥有一个Web站点,该站点允许用户发布信息/浏览已发布的信息。
C注意到B的站点具有存储式的XXS漏洞。
C发布一个热点信息,吸引其它用户纷纷阅读。
B或者是任何的其他人如A浏览该信息,其会话cookies或者其它信息将被C盗走。
类型A直接威胁用户个体,而类型B和存储式漏洞所威胁的对象都是企业级Web应用。
二.在日常编码中,如何防范XSS攻击。
三.在不同的情况下,我们使用不同的脚本进行XSS攻击
- XSS攻击是怎么来实现的
- xss攻击怎么防止
- xss攻击怎么防止
- 【使用JSOUP实现网络爬虫】清理HTML-消除不受信任的html (来防止xss攻击)
- 【使用JSOUP实现网络爬虫】清理HTML-消除不受信任的html (来防止xss攻击)
- XSS攻击防御的filter实现
- jsoup消除不受信任的HTML (来防止XSS攻击)
- Jsoup消除不受信任的HTML (来防止XSS攻击)
- XSS攻击的过滤
- XSS攻击的防范
- XSS攻击的防范
- XSS攻击的原理
- XSS攻击的原理
- 简单的XSS攻击
- XSS攻击的原理
- XSS攻击的危害
- 黑客是怎么攻击网站的
- 阳历是怎么来的
- 别在沉沦了
- 面试常考题-TCP三次握手与四次握手
- 给互联网建立索引:基于词关系网络的智能查询推荐
- 路由协议分类
- HDFS------INode的类图
- XSS攻击是怎么来实现的
- 有效的使用和设计COM智能指针——条款3:按照功能和实现原理选择合适的智能指针
- 敬业,功夫在诗外
- Android 标题 居中
- shell判断文件
- PowerPivot
- synchronized 块
- struts,hibernate 中日期转换问题
- 归档工作的重要性