跨站脚本攻击漏洞
一,跨站脚本攻击:
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
危害
为了搜集用户信息,攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户(详见下文)。一旦得手,他们可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。每天都有大量的XSS攻击的恶意代码出现。 Brett Moore的下面这篇文章详细地阐述了“拒绝服务攻击”以及用户仅仅阅读一篇文章就会受到的“自动攻击”。
二,漏洞类型
*(1)非持久型跨站:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。
(2)持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据库)。
(3)DOM跨站(DOM XSS):DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。
反射性XSS
(1)low,没有任何防过滤,见框就插
(2)medium,str-replace()直接替换函数,区分大小写
(3)high,preg_replace()正则替换(标识忽视大小写)
(4)impossible,htmlspecialchar(string),将预定的字符都转换为HTML实体,防止浏览器将其作为HTML元素。
存储型XSS
利用场景
medium
high
07-27
546
546
08-24
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
