| 关键词: nbsp 用户 攻击 攻击者 持久型 转义 页面 命令 恶意 | |||||
前言在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 一、XSSXSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 跨站脚本攻击有可能造成以下影响:
XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。 XSS 的攻击方式千变万化,但还是可以大致细分为几种类型。 1.非持久型 XSS(反射型 XSS )非持久型 XSS 漏洞,一般是通过给别人发送带有恶意脚本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行。
攻击者可以直接通过 URL (类似:https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。不过一些浏览器如Chrome其内置了一些XSS过滤器,可以防止大部分反射型XSS攻击。 非持久型 XSS 漏洞攻击有以下几点特征:
为了防止出现非持久型 XSS 漏洞,需要确保这么几件事情:
2.持久型 XSS(存储型 XSS)持久型 XSS 漏洞,一般存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行。
举个例子,对于评论功能来说,就得防范持久型 XSS 攻击,因为我可以在评论中输入以下内容 主要注入页面方式和非持久型 XSS 漏洞类似,只不过持久型的不是来源于 URL,referer,forms 等,而是来源于后端从数据库中读出来的数据 。持久型 XSS 攻击不需要诱骗点击,黑客只需要在提交表单的地方完成注入即可,但是这种 XSS 攻击的成本相对还是很高。 攻击成功需要同时满足以下几个条件:
持久型 XSS 有以下几个特点:
3.如何防御对于 XSS 攻击来说,通常有两种方式可以用来防御。 1) CSPCSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。 通常可以通过两种方式来开启 CSP:
这里以设置 HTTP Header 来举例:
上一篇:Web弱口令通用检测方法探究下一篇:新办法绕过xss过滤
最新评论
72小时资讯榜
2
19岁黑客跨三国换IP狂奔,还是被Windows一
网安动态
368人已阅读
3
18K Star,让AI自己跑渗透测试,这个开源项
渗透测试
348人已阅读
4
一个 1.5B 的模型,把网络安全攻防都装进了
安全学院
388人已阅读
5
多家电商遭“银狐”木马攻击,央视披露细节
网安动态
584人已阅读
6
手机也能AI养龙虾:安卓和iOS版OpenClaw应
AI动态
553人已阅读
社区热门
1
━※☆※━★===二〇二六年论坛每日签到帖=
2026-03-13
4
从上大学一直玩黑基 到现在已经37岁 感谢黑
2025-06-03
6
好久没来这里了,居然能正常登录,佩服站长
2025-05-19
|