xss被稱作是跨站指令碼攻擊,類似於sql注入一樣,攻擊者在執行xss時將惡意的指令碼**注入到網頁中,當其他正常使用者訪問該網頁時,惡意指令碼就會被瀏覽器解析,危害使用者安全。導致使用者面臨cookie竊取,session劫持等諸多危險。
反射型的xss的主要形成原因在於後端伺服器在解析使用者輸入的資料時,將使用者輸入的資料解析為指令碼資料,傳遞歸瀏覽器後瀏覽器解析時當作指令碼進行解析,觸發xss漏洞。
dom型的xss則是針對文件直接進行的攻擊,通過修改dom中的資料在本地執行,觸發xss漏洞。
普通的xss:
通過url插入:
通過標籤插入xss:
永遠不要相信使用者的輸入,通過建立盡可能完善的過濾體系來防止xss攻擊的出現。可以採用正規表示式過濾,採用htmlspecialchars轉換輸入等方式對使用者輸入進行處理。
作為owasp top 10的漏洞,當前也有許多針對xss漏洞或xss隱患的自動化掃瞄工具,注入noxss,w13scan以及rsa的sqreen差價等等,開發者通過借助這些自動化工具,可以有效的提高自身應用的安全性。
SSRF原理及攻防解析 簡單明瞭
服務端請求偽造 ssrf 是指一種由攻擊者構造形成由服務端發起請求的乙個安全漏洞,一般情況下,ssrf攻擊的目標都是從外網無法訪問的內部系統,借助服務端發起偽造的請求,可以訪問到與它相連而與外網隔離的內部系統。之所以會形成ssrf主要是因為伺服器提供了從其他伺服器應用獲取資料的功能,但是沒有對目標伺...
sql注入攻擊原理及攻防 02
二 區分資料庫伺服器型別 一般來說,access與sql server是最常用的資料庫伺服器,儘管它們都支援t sql標準,但還有不同之處,而且不同的資料庫有不同的攻擊方法,必須要區別對待。1 利用資料庫服2 務器的系統變數進行區分 sql server有user,db name 等系統變數,利用這...
DNS原理及解析過程
就是所謂的 其實我們的 www.baidu.com在配置當中應該是www.baidu.com.最後有一點 一般我們在瀏覽器裡輸入時會省略後面的點,而這也已經成為了習慣。根域伺服器我們知道有13臺,但是這是錯誤的觀點。根域伺服器只是具有13個ip位址,但機器數量卻不是13臺,因為這些ip位址借助了任播...