XSS是跨站脚本攻击,是为了避免和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在Web应用中的计算机安全漏洞,
它允许恶意web用户将代码植入到提供给其他用户使用的页面中
比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制-例如同源策略,这种类型的漏洞由于被黑客用来编写危害性大的网络钓鱼攻击而变得广为人知
对于跨站脚本攻击,黑客界共识:跨站脚本攻击是新型的“缓冲区溢出攻击”
首先是利用跨站脚本漏洞以一个特权模式去执行攻击者构造的脚本,然后利用不安全的Activex控件执行恶意的行为。使用htmlspecialchars()函数对提交的内容进行过滤,使字符串里面的特殊符号实体化。
XSS危害包括:
1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击
曾经有过案例:
新浪微博XSS受攻击事件
百度贴吧XSS受攻击事件:2014年2014年3月9晚,六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍,病毒循环发帖。
并且导致吧务人员,和吧友被封禁。
防御:
1.完善的过滤体系:永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。
2.Html encode:
假如某些情况下,我们不能对用户数据进行严格的过滤,那我们也需要对标签进行转换。
比如用户输入:<script>window.location.href=”http://www.baidu.com”;</script>,保存后最终存储的会是:<script>window.location.href="http://www.baidu.com"</script>在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。
它允许恶意web用户将代码植入到提供给其他用户使用的页面中
比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制-例如同源策略,这种类型的漏洞由于被黑客用来编写危害性大的网络钓鱼攻击而变得广为人知
对于跨站脚本攻击,黑客界共识:跨站脚本攻击是新型的“缓冲区溢出攻击”
首先是利用跨站脚本漏洞以一个特权模式去执行攻击者构造的脚本,然后利用不安全的Activex控件执行恶意的行为。使用htmlspecialchars()函数对提交的内容进行过滤,使字符串里面的特殊符号实体化。
XSS危害包括:
1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击
曾经有过案例:
新浪微博XSS受攻击事件
百度贴吧XSS受攻击事件:2014年2014年3月9晚,六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍,病毒循环发帖。
并且导致吧务人员,和吧友被封禁。
防御:
1.完善的过滤体系:永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。
2.Html encode:
假如某些情况下,我们不能对用户数据进行严格的过滤,那我们也需要对标签进行转换。
比如用户输入:<script>window.location.href=”http://www.baidu.com”;</script>,保存后最终存储的会是:<script>window.location.href="http://www.baidu.com"</script>在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。
