随着互联网的快速普及,越来越多的敏感信息被存储在网络上,例如个人身份信息、财务信息等。在当前数字化时代,这些安全问题变得更加突出。作为开发者,必须采取适当的防范措施,以确保用户数据的安全性。今天,小编将着重探讨跨站脚本攻击(Cross-site scripting,XSS)这一常见的网络攻击方式,以帮助大家更好地预防此类安全风险。
XSS攻击的本质是利用Web应用程序中的漏洞,向网页注入恶意脚本代码,然后将这些代码嵌入到网页中,当其他用户访问这个网页时,恶意脚本将会被执行。
攻击者通常会在Web应用程序的输入框、评论框、搜索框等可输入内容的地方输入特定的脚本代码,这些代码可以被Web应用程序直接插入到网页中,导致网页上的所有用户都会受到攻击。
举一个简单的例子,就是留言板
我们知道留言板通常的任务就是把用户留言的内容展示出来。正常情况下,用户的留言都是正常的语言文字,留言板显示的内容也就没毛病。然而这个时候如果有人不按套路出牌,在留言内容中丢进去一行。
那么留言板界面的网页代码就会变成形如以下:
那么这个时候问题就来了,当浏览器解析到用户输入的代码那一行时会发生什么呢?答案很显然,浏览器并不知道这些代码改变了原本程序的意图,会照做弹出一个信息框。就像这样:
其实归根结底,XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码。
XSS攻击类型:存储型 、反射型 、DOM型
01
存储型XSS:
存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie。
02
反射型XSS:
非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。
03
DOM型XSS:
不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS。
关于以上不同类型XSS的攻击过程与攻击测试相关介绍由于文章篇幅的限制,小编为大家准备了课程资料包,对XSS脚本攻击感兴趣可以:
联系班班领取学习哦
长按识别|报名咨询
班班老师|13401663881
END
推荐阅读
网络安全:今年已14起!阿里、滴滴等多个平台系统崩溃
12-07 特稿
信息安全:知白微课堂 第五讲风险评估中的“亡羊补牢”
12-01 特稿
原文始发于微信公众号(启明星辰网络空间安全教育):知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论