用心将技术和服务遍布全中国
乃至世界...

服务中国地图
米维网络目前所服务的城市和地区
深圳 广州 东莞 ...
世界是中国的
米维网络服务与合作的全球各地
俄罗斯加拿大德国法国英国瑞士意大利美国印度荷兰韩国泰国新加坡...

我们坚信
无论您在哪里
我们都能为您提供优质的服务!

请您致电
15820782219

致力高端营销型网站设计与互联网应用开发

FOCUS MARKETING WEBSITE BRAND PLANNING AND MARKETING PROMOTION

什么是XSS攻击?

2022-01-18 15:14:38编辑:深圳米维网络信息发展有限公司
XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行.XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的
 
常见的 XSS 攻击有三种:反射型、DOM-based 型、存储型. 其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击.
 
1.反射型
 
反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行.
 
对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过 URL 的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本.反射型 XSS 的触发有后端的参与,要避免反射性 XSS,必须需要后端的协调,后端解析前端的数据时首先做相关的字串检测和转义处理.
 
此类 XSS 通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进行钓鱼欺骗.
 
2.DOM-based 型
 
客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据.例如客户端如从 URL 中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本,而这些脚本没有经过适当的过滤和消毒,那么应用程序就可能受到 DOM-based XSS 攻击.需要特别注意以下的用户输入源 document.URL、 location.hash、 location.search、 document.referrer 等.
 
3.存储型
 
攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码.这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大.
 
存储型 XSS 一般出现在网站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中.

联络方式:

深圳市光明区公明街道下村四排南治97号11楼

电话:15820782219

邮箱:974837117@qq.com

微信公众号
扫描名片
访问手机站