网站攻击类型跨站攻击的解决方案

最新推荐文章于 2023-11-27 15:00:00 发布
最新推荐文章于 2023-11-27 15:00:00 发布
阅读量1.9k 收藏
点赞数
分类专栏: 莫莫学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/momo_mutou/article/details/47339153
版权

漏洞描述:

       跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃会话COOKIE从而窃取网站用户的隐私,包括密码。XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的危害。

 

漏洞危害: 

1、钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。

2、网站挂马:跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。

3、身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发巨大的危害。

4、盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份使,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。

5、垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

6、劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。

7、XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。


修复方案:

我这里用的是阿里云的服务器;在云盾的安全监测中显示的跨站攻击类似这种

http://example.cn:80/example/example?jbid=''><scRipt>alert(98733)</sCript>

http://example.cn:80/example/example?jbid=-3306 UNION ALL SELECT CONCAT(0x716b756a71,0x4b5163596666574b5461,0x7170656b71)#

http://example.cn:80/example/example?videoid=1633 AND SLEEP(5)

等等情况;因为网站代码没有对接收参数数据进行过滤;给“坏银”可乘之机;

我是这么做的,在执行程序之前,

1、判断下接收到参数类型是不是你实际需要的参数类型;

2、以及内容的合法性判断;

3、只接收指定数量参数超过就理解为不合法或者攻击。

这些只是我自己想到的解决方案,可能不全面。希望可以帮助到更多人!

momo_mutou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大米CMS网站系统 v3.8
04-04
大米CMS是一个免费开源、快速、简单的PC建站和手机建站集成一体化系统,致力于为用户提供简单、快捷的PC建站和智能手机建站解决方案。 提供开源的安卓手机客户端(APK)和对应的服务器端系统源码下载。 大米CMS特点...
漏洞解决方案-跨站脚本攻击
smart的博客
08-11 6005
漏洞解决方案-跨站脚本攻击跨站脚本攻击1.风险分析2.详细描述3.解决方案 跨站脚本攻击 1.风险分析 跨站脚本可能造成用户信息泄露(包括我行内部行员的用户名、密码泄露),配置更改,cookie窃取等造成危害,甚至能够用于对Web服务器进行DOS攻击。黑客也可利用获取的用户信息对我行系统进行进一步攻击。 2.详细描述 跨站脚本发生在以下两种情况: 数据通过不可靠的源进入Web application,大多数情况下是web request。 包含在动态内容中的数据在没有经过安全检测就发送给网络用户。
跨站脚本攻击(XSS)分类介绍及解决办法
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
跨站脚本攻击(XSS)几种解决方案浅析
零度的博客专栏
08-04 1万+
一、概述        Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者和web站点,跨站脚本包含三个部分:攻击者,客户和web站点。跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。   二、XSS攻击原理 一个get请求: GET /welcome.cgi?name=Joe%20Hacker
XSS(跨站脚本攻击)及部分解决方案
Peacock__的博客
12-26 2339
最近做的部门内部用的一个小项目要上线,上线前安全测试测出了存储型XSS漏洞,自己也通过这个机会学习了一下,在此记录 1、什么是XSS XSS的中文含义是跨站脚本攻击,Cross Site Scripting,缩写为CSS,但容易与层叠样式表的缩写混淆,所以有人将其缩写为XSS 2、XSS原理 html是超文本标记语言,通过一些字符特殊对待来区分文本和标记,例如:<被看作h...
Mycat数据库中间件 v1.13
04-22
修复黑客路由器响应int类型可能超出数字范围Mycat的目标是以低成本将当前的独立数据库和应用程序平稳地迁移到云端,并解决由于数据存储和业务规模的快速增长而引起的瓶颈问题。MyCAT特性支持SQL92标准 遵守Mysql...
前后端分离的思考与实践(下)
03-03
跨站脚本攻击(XSS,Cross-sitescripting)是最常见和基本的攻击Web网站的方法。攻击者可以在网页上发布包含攻击性代码的数据,当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以...
威盾V3.71 Build 90403.rar
08-29
在启用网络防火墙的情况下,您的网站仍然被黑客植入了木马,这很明显,您网站的程序存在漏洞,黑客通过SQL注入或跨站攻击及非法上传等方式将脚本木马上传并控制了您的服务器,那么从现在起就立即安装威盾防火墙,将...
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 6888
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
【网络安全】-常见的网站攻击方式详解
最新发布
Spontaneous_0的博客
11-27 1492
在数字时代,网站攻击是一种常见而严重的威胁,可能导致个人隐私泄露、数据损坏,甚至是整个系统的瘫痪。为了帮助小白用户更好地了解并防范这些威胁,我们将深入研究一些常见的网站攻击方式,包括攻击原理、攻击目的以及防范措施。
Web安全入门——跨站脚本攻击(XSS)
wangluoanquan152的博客
01-22 1046
跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。 XSS攻击是指黑客通过“HTML注入”篡改网页,插入恶意的脚本,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
【web安全】XSS攻击跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 4512
XSS攻击跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
网站攻击常见的几种方式
weixin_43017996的博客
06-18 1万+
1、xss攻击跨站脚本攻击,在网页中嵌入恶意脚本,盗取客户端cookie、用户名、密码等; 例:##原始表单 <input type="text" name="firstname" value=""/><script>alert("longlong")</script><!-- "/>##输入恶意脚本对输入做处理 页面会显示longlong的告警显示 2、csrf攻击跨站请求伪造,一般是利用cookie 一般场景:1、User登录信任站点A,得到本地
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
热门推荐
飞上云端看彩虹
01-22 7万+
XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户...
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
反射型xss(跨站脚本攻击
EdisonJH的博客
07-12 8642
反射型xss(跨站脚本攻击) 通常人们会把跨站脚本攻击(Cross Site Scripting)缩写为CSS),但是这与浏览器的层叠样式表css会混淆,所以人们把跨站脚本攻击缩写为xss。 xss原理:其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站...
跨站脚本攻击(XSS)
凉茶铺的博客
07-26 5895
XSS,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字一直保留下来。(2)页面展示...
跨站脚本攻击(XSS)详解
bluemoon_0的博客
02-04 2960
跨站脚本攻击(XSS)详解
Web安全之跨站脚本攻击(XSS)
javagty6778的博客
02-22 189
跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过“HTML注入”篡改了网页,插入了恶意的脚本,然后在用户浏览网页时,控制用户浏览器(盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害)的一种攻击方式。
http TRACE 跨站攻击
06-13
然而,TRACE方法也可能被黑客利用来执行跨站攻击攻击者可以通过在用户的浏览器中注入恶意脚本来利用TRACE方法进行攻击。当用户在受感染的网站上进行操作时,攻击者可以使用TRACE方法来窃取用户的敏感信息,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值