当前位置:七道奇文章资讯安全技术网络技术
日期:2010-02-09 11:32:00  来源:本站整理

深化浅出之跨站攻击(XSS)[网络技术]

赞助商链接



  本文“深化浅出之跨站攻击(XSS)[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

随着网络利用的日益遍及,此中的安全问题也越来越不容轻忽.作为网络安全中占用重要地位的WEB安全也开始遭到人们关注,作为一个好的网络安全保护人员,不但要有踏实的理论知识,还要有充分的白盒黑盒测试经验,本日我们就从攻击的角度解析下WEB脚本安全中客户端脚本常常呈现的攻击方法——跨站攻击(XSS). 
        跨站漏洞呈目前各个地方,其危害也越来越大,印象中08年在国内就曾掀起了一阵“跨站热”,多家闻名网站程序邮箱都遭到了差别程度的攻击.那么跨站漏洞毕竟是怎么产生的呢?从攻击者的角度看,是攻击者提交的变量没有经过完好过滤Html字符大概根本就没有经过过滤就放到了数据库中,并且在一些地方又直接从数据库中取出来返回给来拜候的用户,从而产生了跨站漏洞.而从程序员角度解析,则是由于编写程序时的一些失误,在代码解析成HTML的历程中被人操纵,从而被攻击者构造公道的HTML代码闭合后然后就运行攻击代码.这种漏洞多呈现于能输入和解析成HTML的地方,比方邮箱和留言板.这两个地方都答应利用html大概是供应了已存在的标签.
        那我们怎么才能测试自己的网站到底存不存在跨站漏洞呢?有的书里把XSS分为入库型,非入库型和上传型来举行解析.而在本文中,我按照XSS攻击的特点,把XSS也分为三种,辨别是自定义标志XSS,已定义标志XSS,别的类XSS(本人是小菜啊,自己认为不错就这么分了,大牛们不要笑话我啊``).下面我辨别为大家解析下这三种XSS的攻击和防备办法.这里的代码都只解析弹出窗口,至于挂马代码等都是近似的.
一.自定义标志XSS
        自定义标志XSS,顾名思义,就是我们自己构造HTML标志举行攻击,这个也是XSS中最简单的一种.而我们构造的标志就是<script>alert("xiaohun")</script>,这个语句我想大家都已经很熟习了.这里的程序呈现的问题就是直接没有过滤转换任何的html标志,当然这种情形目前很少了.更多的是在程序中我们的语句因为没闭合而没被履行.我们可以通过查看返回的源代码举行解析闭合.普通是在该语句的前后各加><这两个标志.近似的测试语句大家可以自己在网上找,这种我们就不多说了.
         当然要防备也是很简单的,只需求在程序中构造正则表达式过滤点<>便可以了.如:replace(str,"<","<"),replace(str,">",">").
        这里还有一条这类的测试语句:%3Cscript%3Ealert(’XSS’)%3C/script%3E.这个是操纵字符的转换,把程序

[1] [2]  下一页


  以上是“深化浅出之跨站攻击(XSS)[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • 深化浅出Netfilter/iptables防火墙框架(底子篇)
  • 数据库计划范式深化浅出
  • 深化浅出基于Java的责任链情势
  • 深化浅出基于Java的制作筹划情势
  • 深化浅出谈垃圾的回收—Java堆的管理
  • <b>深化浅出Java筹划情势之迭代器情势</b>
  • 深化浅出基于Java的代理筹划情势
  • 深化浅出Java多线程(1)-办法join
  • 深化浅出Java多线程(2)-Swing中的EDT(事件分发线程)
  • 深化浅出基于Java的注释器筹划情势
  • 深化浅出Java堆的管理 - 垃圾回收
  • 深化浅出Java的访谒者情势
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .