黑客资讯
xss攻击原理与解决方法
日期:2019/9/28 16:21:50
xss发生原理
xss就是跨站脚本攻击,造成这种漏洞存在的根本原因是开发者的安全意识不够而留下的漏洞,使得用户可以直接在页面提交代码,并且执行,从而获取到用户权限,cookie等危害,xss攻击一般危害的是网站的用户,而不是网站,xss的危害性在所有web漏洞威胁性排名第二,仅次于sql注入,68%的网站可能存在xss攻击。
xss攻击常常发生在输入框里,通常是让用户填写的,例如留言板、个性签名、个人介绍等输入框,或者是搜索框,只要有输入框存在,就可能存在xss漏洞,例如最常见的弹窗代码<script>alert('test');</script>,如果能执行那就很明显存在xss漏洞,进一步进行攻击,我们今天讲的不是攻击,而是防御,xss各种攻击手段可以看我们的xss课程https://www.xf1433.com/course/4221.html,知道攻击是如何发生的,才能更好的防御。
xss防御解决方法
对用户提交的代码进行转义
为什么我们上面发的<script>alert('test');</script>,是显示出来而不是在后台执行呢?因为我们对提交的代码进行了转义,例如<,转义后就是<,在前端不仅能把代码显示出来,并且也不会执行,也就是说攻击者如果提交了<script>alert('test');</script>,经过转义后会变成:<script>alert('test');</script>,看起来很乱,实际上只会对特殊字符进行转义,而转义后的就是很普通的文本,没有攻击能力,从而阻止了js攻击。
过滤特殊字符
对于用户提交的内容,要进行过滤后再显示,可以设置对“<”,“>”,“;”,“””,等进行过滤,当带有这些字符时直接拒绝提交。在提交方式上要选择post提交方式,get会直接在浏览器地址上显示内容,不安全。
xss威力有多大?
1、盗取cookie,从而登录其他用户账号,导致账号泄露。
2、利用iframe、frame欺骗用户进行操作,甚至能导致网银被盗。
3、访问页面大的xss漏洞,可以用特殊的代码,让用户帮助你ddos攻击其他网站。
最新文章
推荐文章
热门文章
- 如何成为一名黑客?怎么从0开始学黑客
- 怎样自学成为黑客,如何0基础成为一名黑客?
- 用手机怎么当黑客,用手机学习自学教黑客技术教程
- 专业接单黑客联系方式,网络黑客高手的联系方式
- 如何成为一名黑客?基础入门
- 自学黑客要多久,学习黑客技术需要多长时间
- 黑客怎样简单入侵别人手机,黑客是如何入侵手机的?
- 黑客自学书籍手册,黑客零基础入门书籍推荐,自学黑客技...
- 黑客技术交流群,黑客qq群有哪些?谁有黑客qq群
- 解析qq盗号网站的多种盗号方式
- 黑客经常用的头像,黑客头像图片高清,神秘人面具
- 如何让小学生成为黑客,小学生黑客怎么学,小学生入门黑...
- 黑客新手如何入门黑客技术(黑客入门教程)
- 世界最著名的黑客大战,中美黑客大战
黑客技术
黑客软件
黑客教程
黑客书籍
关于我们 | 免责声明 | 学员守则 | 广告服务 | 联系我们
©2013-2022 xf1433.com 版权所有
本站资源仅供用于学习和交流,请遵循相关法律法规