跨站脚本攻击 如何预防XSS漏洞
发布时间:2022-09-02 10:28:53 所属栏目:安全 来源:互联网
导读:XSS攻击可用于获得对特权信息的访问,本文讲的就是应对它们的方法。美国国土安全部(Department of Homeland Security)目前向联邦机构发出警告,要警惕一种特别具有攻击性的网络攻击形式跨站脚本攻击(XSS)。 跨站脚本攻击是如何发生的? 尽管存在几种形式的XSS
|
XSS攻击可用于获得对特权信息的访问,本文讲的就是应对它们的方法。美国国土安全部(Department of Homeland Security)目前向联邦机构发出警告,要警惕一种特别具有攻击性的网络攻击形式——跨站脚本攻击(XSS)。 跨站脚本攻击是如何发生的? 尽管存在几种形式的XSS攻击,但所有攻击的结果本质上都是一样的:在用户的浏览器中执行恶意代码。 通常,当用户与web应用程序或网站交互时,数据会在客户端和网站或应用程序前端之间来回发送。其中可能大多是无害的数据,可随意浏览,或者应用程序中可能有某些页面或输入从用户那里收集数据。 XSS利用这些输入插入其恶意指令,就拿一个简单的博客或论坛来说吧。一般来说,作者会在网站上发布一篇博文,其他用户可以对其进行评论。这些评论是通过一个带有提交按钮的自由格式的文本框收集的。 在后台,应用程序正在从这些输入字段中收集数据:姓名、电子邮件地址、评论。那是什么阻止人们在文本框中放入其他东西并传播回web应用程序?可能什么都没有。在这种情况下,可以利用站点本身来执行跨站脚本攻击。  什么是Cookie窃取? Cookie窃取是跨站脚本攻击工具库中的一种工具,它利用存储在用户Web浏览器缓存中的信息来识别特定连接或会话中的用户。 如果攻击者可以窃取用户的cookie,那么攻击者就可以冒充终端用户,在XSS漏洞中,如果攻击者可以窃取用户的cookie,就可以变成用户或者冒充用户。攻击者可以更改用户的密码、更改用户的备份邮箱,从而接管整个账户。 这样的攻击可能允许恶意攻击者获取秘钥来窃取用户名和密码。如果该用户拥有政府网络的管理证书,潜在的危害可能呈指数级上升。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号