08
2020
11

xxss攻击

#-- XSS攻击是向网页中注入恶意脚本,用在用户浏览网页时,在用户浏览器中执行恶意脚本的攻击。

#    -- XSS分类,反射型xss ,存储型xss

#    -- 反射型xss又称为非持久型xss,攻击者通过电子邮件等方式将包含注入脚本的链接发送给受害者,

#        受害者通过点击链接,执行注入脚本,达到攻击目的。

#    -- 持久型xss跟反射型的最大不同是攻击脚本将被永久的存放在目标服务器的数据库和文件中,多见于论坛

#        攻击脚本连同正常信息一同注入到帖子内容当中,当浏览这个被注入恶意脚本的帖子的时候,恶意脚本会被执行

#    -- 防范措施 1 输入过滤  2 输出编码  3 cookie防盗

#        1,输入过滤 用户输入进行检测 不允许带有js代码

#        2,输出编码 就是把我们的脚本代码变成字符串形式输出出来

#        3,cookie加密

        

        

        

#向页面注入恶意的代码,这些代码被浏览器执行

#XSS攻击能做些什么:

#    1.窃取cookies

#    2.读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表

#解决方法:

#    1.客户度端:表单提交之前或者url传递之前,对需要的参数进行过滤

#    2.服务器端:检查用户输入的内容是否有非法内容


 

« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。