什么是XSS硕蛹?
XSS攻擊中文全稱“跨站腳本攻擊”猪腕。
XSS是一種在web應(yīng)用中的計(jì)算機(jī)安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁(yè)面中誉帅。
可以做什么?
它可以獲取用戶的聯(lián)系人列表右莱,然后向聯(lián)系人發(fā)送虛假詐騙信息蚜锨,可以刪除用戶的日志等等,有時(shí)候還和其他攻擊方式同時(shí)實(shí)施比如SQL注入攻擊服務(wù)器和數(shù)據(jù)庫(kù)慢蜓、Click劫持踏志、相對(duì)鏈接劫持等實(shí)施釣魚
實(shí)施攻擊要具備的條件:
實(shí)施XSS攻擊需要具備兩個(gè)條件:
一、需要向web頁(yè)面注入惡意代碼胀瞪;
二针余、這些惡意代碼能夠被瀏覽器成功的執(zhí)行。
XSS攻擊分類:
根據(jù)XSS攻擊效果分類:
第一凄诞、XSS反射型攻擊圆雁,惡意代碼并沒(méi)有保存在目標(biāo)網(wǎng)站,通過(guò)引誘用戶點(diǎn)擊一個(gè)鏈接到目標(biāo)網(wǎng)站的惡意鏈接來(lái)實(shí)施攻擊的帆谍。
第二伪朽、XSS存儲(chǔ)型攻擊,惡意代碼被保存到目標(biāo)網(wǎng)站的服務(wù)器中汛蝙,這種攻擊具有較強(qiáng)的穩(wěn)定性和持久性烈涮,比較常見(jiàn)場(chǎng)景是在博客,論壇等社交網(wǎng)站上窖剑,但OA系統(tǒng)坚洽,和CRM系統(tǒng)上也能看到它身影,比如:某CRM系統(tǒng)的客戶投訴功能上存在XSS存儲(chǔ)型漏洞西土,黑客提交了惡意攻擊代碼讶舰,當(dāng)系統(tǒng)管理員查看投訴信息時(shí)惡意代碼執(zhí)行,竊取了客戶的資料需了,然而管理員毫不知情跳昼,這就是典型的XSS存儲(chǔ)型攻擊。
一般防御措施:
一種方法是在表單提交或者url參數(shù)傳遞前肋乍,對(duì)需要的參數(shù)進(jìn)行過(guò)濾鹅颊。
二、 過(guò)濾用戶輸入的 檢查用戶輸入的內(nèi)容中是否有非法內(nèi)容墓造。如<>(尖括號(hào))堪伍、”(引號(hào))历帚、 ‘(單引號(hào))、%(百分比符號(hào))杠娱、;(分號(hào))挽牢、()(括號(hào))、&(& 符號(hào))摊求、+(加號(hào))等禽拔。、嚴(yán)格控制輸出室叉。
