超级会员免费看
本文详细介绍了跨站脚本攻击(XSS)的类型,包括存储型和反射型,以及检测和利用方法。通过GET和POST方式的示例展示了如何检测XSS漏洞,并提出了过滤、编码等修复方案。此外,还探讨了XSS防护的额外措施,如Spring MVC的防护策略。
1、漏洞名称
存储型XSS跨站脚本,反射型XSS跨站脚本
2、漏洞描述
跨站脚本攻击的英文全称是Cross Site Script,为了和样式表区分,缩写为XSS。发生的原因是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行。跨站脚本攻击它指的是恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页之时,嵌入其中Web里面的JavaScript代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。
跨站脚本攻击漏洞:1)存储式;2)反射式。
1、存储型跨站脚本攻击涉及的功能点:用户输入的文本信息保存到数据库中,并能够在页面展示的功能点,例如用户留言、发送站内消息、个人信息修改等功能点。
2、反射型跨站脚本攻击涉及的功能点:URL参数需要在页面显示的功能点都可能存在反射型跨站脚本攻击,例如站内搜索、查询功能点。
3、检测条件
1、已知待测目标URL,假设为http://www.exmaple.com/page.xxx
2、待测目标存在参数输入,或者以POST方式提交参数,显示为表单方
订阅专栏 解锁全文
扫一扫
709
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
