web安全之XSS攻击

XSS攻击及防范

1. 什么是XSS?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造。 将恶意代码植入到提供给其他用户使用的页面中,简单的理解为一种javascript代码注入。

2. XSS危害

  • 挂马
  • 盗取用户Cookie。
  • DOS(拒绝服务)客户端浏览器。
  • 钓鱼攻击,高级的钓鱼技巧。
  • 删除目标文章、恶意篡改数据、嫁祸。
  • 劫持用户Web行为,甚至进一步渗透内网。
  • 爆发Web2.0蠕虫。
  • 蠕虫式的DDoS攻击。
  • 蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据

3.XSS分类

XSS分为三类:

  • 反射型XSS(非持久型)
    • 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。
  • 存储型XSS(持久型)
    • 存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。
  • DOM XSS(客户端)
    • DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。

4.XSS的防御措施:

  • 过滤转义输入输出
  • 避免使用eval、new Function等执行字符串的方法,除非确定字符串和用户输入无关
  • 使用cookie的httpOnly属性,加上了这个属性的cookie字段,js是无法进行读写的
  • 使用innerHTML、document.write的时候,如果数据是用户输入的,那么需要对象关键字符进行过滤与转义

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏啸天"s blog

amh4.2优化版

1494
来自专栏陈树义

高效开发技巧:为什么你下载Git项目这么慢?

笔者所在公司采用的是 GitLab 进行版本管理,但许多同事下载 Git 项目的路径是这样的: 打开浏览器 -> 输入网址 -> 查找项目地址 -> 复制项目...

3524
来自专栏FreeBuf

如何在安卓移动终端进行一次渗透实验?

下面的实验将通过使用一个虚拟Android系统作为实验主体来进行展示。在这个实验中,通过使用虚拟Android系统,模拟移动终端的操作,来帮助我们逐步实现使用一...

2826
来自专栏yl 成长笔记

消息队列的使用 RabbitMQ(一): 安装与总体介绍

RabbitMQ 是一款开源且比较流行的消息中间件。但用起来还是比较麻烦,有人封装了一层, 这就是 EasyNetQ 。

992
来自专栏Laoqi's Linux运维专列

集群架构の のzabbix 监控

43110
来自专栏菜鸟程序员

支持批量检测 SS/SSR账号延迟和TCP/UDP可用性的客户端 —— SSCap

4.5K3
来自专栏技术小黑屋

Android进程线程调度之cgroups

做Android开发的同学们,了解cgroups的同学其实不多,cgroups是什么意思呢,在操作系统中有着什么样的作用,以及Android中的cgroups有...

2262
来自专栏云计算教程系列

如何在Ubuntu 14.04上使用Pydio托管文件共享服务器

随着云的采用增加,越来越多的数据被远程存储。从音乐到图片再到个人文档,很多人都将文件上传到他们不管理的服务器上。如果您希望将文件保存在您控制的服务器上,则可以使...

2740
来自专栏黑白安全

常规web渗透测试漏洞描述及修复建议

apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作

2754
来自专栏玄魂工作室

[技巧]看我如何通过Weeman+Ettercap拿下路由器管理权限

本文作者:sn0w 原文链接:https://zhuanlan.zhihu.com/p/20871363 本篇文章主要介绍如何在接入无线网络后如何拿到路由器的...

3628

扫码关注云+社区