XSS介绍及常用攻击手段

转载 2018年04月15日 09:48:15
 
原地址:https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC
跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

攻击手段和目的
攻击者使被攻击者在浏览器中执行脚本后,如果需要收集来自被攻击者的数据(如cookie或其他敏感信息),可以自行架设一个网站,让被攻击者通过JavaScript等方式把收集好的数据作为参数提交,随后以数据库等形式记录在攻击者自己的服务器上。

常用的XSS攻击手段和目的有:

盗用cookie,获取敏感信息。
利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。

在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果

 漏洞的防御和利用
过滤特殊字符
避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤:

PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET 的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect (Open Source Library)。
Node.js的node-validator。

使用HTTP头指定类型
很多时候可以使用HTTP头指定内容的类型,使得输出的内容避免被作为HTML解析。如在PHP语言中使用以下代码:

<?php
   header('Content-Type: text/javascript; charset=utf-8');
?>
即可强行指定输出内容为文本/JavaScript脚本(顺便指定了内容编码),而非可以引发攻击的HTML。

常见十大web攻击手段

http://zhengj3.blog.51cto.com/6106/290728 常见针对 Web 应用攻击的十大手段 目前常用的针对应用漏洞的攻击已经多达几百种,最为常见的攻击为下表列出的...
  • ccecwg
  • ccecwg
  • 2014-11-17 15:02:37
  • 734

跨站脚本攻击(XSS)——常见网站攻击手段原理与防御

主要是依靠一切可能的手段,将浏览器中可以执行的脚本(javascript)植入到页面代码中,从而对用户客户端实施攻击。这才是我认为在目前这个“大前端时代”xss攻击的定义。 实际上黑客攻击这种行为从本...
  • guugle2010
  • guugle2010
  • 2016-04-10 01:09:17
  • 3029

常见的XSS 注入攻击方式及预防

常见的XSS 注入攻击方式及预防 转自:http://hi.baidu.com/annexmicro/item/22713fe7e5cb12aac00d757d 前端开发常见的安全问题就是会遭...
  • shyu1989
  • shyu1989
  • 2013-12-27 15:44:18
  • 1317

Web攻击手段--XSS攻击及预防策略

XSS(Cross Site Scripting)攻击的全称是跨站脚本攻击,跨站脚本攻击的方式是恶意攻击者在网页中嵌入恶意脚本程序,当用户打开网页的时候脚本程序便在客户端执行,盗取客户的cookie及...
  • sunhuiliang85
  • sunhuiliang85
  • 2016-12-21 11:17:39
  • 212

DoS攻击原理以及常见方法介绍(三)

我们进入比较重要的一部分:TCP连接握手过程。这个过程简单地分为三步。  在没有连接中,接受方(我们针对服务器),服务器处于LISTEN状态,等待其他机器发送连接请求。  第一步:客...
  • andyzcool
  • andyzcool
  • 2005-03-15 17:04:00
  • 1256

浅谈常用的几种web攻击方式以及解决办法

身在互联网的时候,web在给我们带来便利的同时,有些人也在盯着这些便利,因此出现了攻击网站的现象。所以我们在开发的时候,要注意这些容易被攻击的地方,以及做好防御的措施,下面将介绍一些这些常见的攻击手段...
  • zou2ouzou
  • zou2ouzou
  • 2017-03-08 23:47:27
  • 1697

XSS跨站脚本攻击(一)----XSS攻击的三种类型

一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时...
  • u011781521
  • u011781521
  • 2016-12-27 22:32:21
  • 19654

有备无患 | 黑客的常见攻击手段有哪些?

我们基本都能认识到黑客的危险性,但依然有为数众多的网络用户认为,黑客距离自己很遥远,没必要专门攻击自己这样的普通人,这种观念是错误的。网络中的黑客就像现实生活中的小偷、强盗一样,多数作案基本都是随机的...
  • cc18629609212
  • cc18629609212
  • 2018-02-09 09:50:55
  • 181

网络攻击的主要方式

http://city.6to23.com/html/34/2005/10/1484_1.htm来自这里的这篇文章,最近研究这个,要弄清一些问题。网络攻击的方式要分为四类:  第一类是服务拒绝攻击,包...
  • mycmyc2003
  • mycmyc2003
  • 2007-10-08 10:51:00
  • 2895

网络攻击的主要技术和手段

(1)拒绝服务攻击。利用网络协议的缺陷或耗尽被攻击对象的资源,目标是让目标计算机或网络无法提供正常的服务或资源访问,使目标计算机停止响应甚至崩溃;分布式拒绝服务是在传统DOS攻击基础上产生的,该方法通...
  • xumesang
  • xumesang
  • 2015-03-17 19:59:48
  • 1907
收藏助手
不良信息举报
您举报文章:XSS介绍及常用攻击手段
举报原因:
原因补充:

(最多只允许输入30个字)