老男孩教育专注IT教育10余年,只培养IT技术精英
全国免费咨询电话(渠道合作):400-609-2893
Web安全中跨站脚本攻击漏洞是什么?该如何进行防御?
老男孩IT教育
行业新闻
2021年9月26日 17:11
在学习网络安全过程中,我们会接触到各种各样的攻击方式,有SQL注入、XSS攻击甚至更多,正所谓知己知彼百战不殆,我们只有足够了解它们,才能真正的预防及维护我们的系统,如果你还不清楚,请看完本篇文章,请看下文:
在学习网络安全过程中,我们会接触到各种各样的攻击方式,有SQL注入、XSS攻击甚至更多,正所谓知己知彼百战不殆,我们只有足够了解它们,才能真正的预防及维护我们的系统,如果你还不清楚,请看完本篇文章,请看下文:
跨站脚本漏洞也叫XSS攻击,是不和层叠样式表的缩写混淆,所以将跨站脚本攻击缩写为XSS,恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页时,嵌入Web页面里的代码会被执行,从而达到恶意攻击用户的目的。
什么原因会出现XSS漏洞呢?
由于动态网页的Web页面对用户提交请求未做充分的检查过滤,允许用户在提交的数据中心掺HTML代码,最重要的是<、>,然后未加编码地输出到第三方用户的浏览器,这些攻击者恶意提交代码会被受害用户的浏览器解释执行。
反射型XSS:非持久化,需要欺骗用户点击链接才能触发XSS代码,数据库中没有这样的页面和内容,一般存在于URL或者HTTP正文中,需要构造页面或者构造URL。
存储型XSS:持久化,代码存储在数据库中,如果在个人信息或发表文章等地方,假如代码没有过滤或过滤不严,那这些代码将存储到数据库中,用户访问该页面的时候触发代码执行,容易造成蠕虫,盗窃cookie等。
DOM型XSS:并不需要服务器解析响应的直接参与,触发XSS靠的就是浏览器端的DOM解析,可以认为完全是客户端的事情。
那它的危害有哪些呢?
获取用户信息:如浏览器信息、ip地址、cookie信息等;
钓鱼:利用xss漏洞构造出一个登录框,骗取用户账户密码,提示登录过期,模拟一个网站的登录框,将用户名、密码发送到攻击者服务器;
注入木马或广告连接:有些在主站注入非法网站的链接,对公司的声誉有一定影响;
后台网站数据操作:配合CSRF漏洞,骗取用户点击,利用js模拟浏览器发包;
xss蠕虫:微博蠕虫只要看过某人的微博,就自动关注他,贴吧蠕虫是只要看过某个帖子就自动回复。
更多网络安全学习相关事宜,推荐关注老男孩教育网络安全培训课程。我们这有专业的网络安全培训课程,还有经验丰富的老师,可以针对不同基础情况的学员制定相应的学习模式,欢迎大家前来试听。
推荐阅读:
本文经授权发布,不代表老男孩教育立场。如若转载请联系原作者。
扫码加入新媒体运营学院讨论学习群
最新文章
