国产一区二区精品-国产一区二区精品久-国产一区二区精品久久-国产一区二区精品久久91-免费毛片播放-免费毛片基地

千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機構(gòu)

手機站
千鋒教育

千鋒學(xué)習(xí)站 | 隨時隨地免費學(xué)

千鋒教育

掃一掃進入千鋒手機站

領(lǐng)取全套視頻
千鋒教育

關(guān)注千鋒學(xué)習(xí)站小程序
隨時隨地免費學(xué)習(xí)課程

當(dāng)前位置:首頁  >  技術(shù)干貨  > 網(wǎng)絡(luò)安全-了解XSS的基本知識

網(wǎng)絡(luò)安全-了解XSS的基本知識

來源:千鋒教育
發(fā)布人:qyf
時間: 2022-08-18 15:52:00 1660809120

  什么是xss攻擊?

  XSS又叫CSS(Cross Site Script),跨站腳本攻擊:指惡意攻擊者往Web頁面里插入惡意Script代碼,當(dāng)用戶瀏覽該頁之時,嵌入其中Web里面的Script代碼會被執(zhí)行,從而達到惡意攻擊用戶的目的。

1

  那么,當(dāng)當(dāng)前的網(wǎng)頁彈出1的時候,我們就知道,這個網(wǎng)頁是可以執(zhí)行js腳本的了,那么我們是不是就可以通過document去盜取一些信息,來幫助我們更進一步的去潛入進去呢?例如盜取一下cookie等。

  先來看一下XSS有幾種吧:

  持久型:一些可以提交的地方,文章評論,個人信息填寫等,如果沒有加過濾的話,嵌入的腳本就會被提交到服務(wù)器上,之后用戶每次訪問都會觸發(fā)腳本(例如圖中的alert(1),每個用戶打開都會彈出1)

  非持久型:反射型跨站腳本漏洞,是最普遍的類型。大多是鏈接的方式,需要用戶點擊,才能返回腳本進行操作(用戶訪問服務(wù)器-->點擊跨站鏈接--->返回腳本代碼)

  DOM型:客戶端的腳本程序可以通過DOM動態(tài)地檢查和修改頁面內(nèi)容,它不依賴于提交數(shù)據(jù)到服務(wù)器端,而從客戶端獲得DOM中的數(shù)據(jù)在本地執(zhí)行,如果DOM中的數(shù)據(jù)沒有經(jīng)過嚴格確認,就會產(chǎn)生DOM XSS漏洞(很少見emm,反正我沒見過hhh,日后見到了來補上,再細說)

  XSS可能會帶來的危害

  使網(wǎng)頁無法正常運行:這個就是我們上面中圖示的內(nèi)容,如果不僅僅是一個alert(1)呢?外部來一個永久循環(huán),這個網(wǎng)頁的彈窗就會永遠關(guān)不掉,導(dǎo)致無法正常的實現(xiàn)整體業(yè)務(wù)流程。

  獲取cookie信息:這個我們也在上文中說過,如果網(wǎng)頁上可以執(zhí)行js腳本的話,那么我們是可以通過document.cookie來實現(xiàn)獲取用戶cookie的。

  試想下如果像QQ空間說說中能夠?qū)懭離ss攻擊語句,那豈不是看了你說說的人的號你都可以登錄。

  劫持流量惡意跳轉(zhuǎn):像這樣,在網(wǎng)頁中想辦法插入一句像這樣的語句,訪問的網(wǎng)頁就會直接跳轉(zhuǎn)到百度去。

  <script>window.location.;</script>

  XSS的攻擊應(yīng)該具備這樣的條件

  網(wǎng)頁內(nèi)部有輸入框,內(nèi)容可存儲在服務(wù)器上

  輸入框內(nèi)的內(nèi)容,才能被提交到他的服務(wù)器上,才能改變這個網(wǎng)頁內(nèi)部的文件內(nèi)容。

  前提是這個輸入,沒有被過濾,才會成功哦!

  可以自己寫demo嘗試一下,不建議直接在網(wǎng)絡(luò)上開搞emm,自己玩玩就行哈~

  XSS防御措施(對用戶輸入內(nèi)容和服務(wù)端返回內(nèi)容進行過濾和轉(zhuǎn)譯)

  現(xiàn)代大部分瀏覽器都自帶 XSS 篩選器(vue/react等主流框架已經(jīng)避免類似問題,vue舉例:不能在template中寫script標(biāo)簽,無法在js中通過ref或append等方式動態(tài)改變或添加script標(biāo)簽)

  過濾:對諸如script、img、a等標(biāo)簽進行過濾。

  編碼:像一些常見的符號,如<>在輸入的時候要對其進行轉(zhuǎn)換編碼,這樣做瀏覽器是不會對該標(biāo)簽進行解釋執(zhí)行的,同時也不影響顯示效果。

  最后,學(xué)習(xí)網(wǎng)絡(luò)安全是為了保護好自己,在這個網(wǎng)絡(luò)時代,避免自己的信息被不法分子盜取,而不是說我們學(xué)會如何去攻擊別人。

  更多關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的問題,歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓(xùn)服務(wù)經(jīng)驗,采用全程面授高品質(zhì)、高體驗培養(yǎng)模式,擁有國內(nèi)一體化教學(xué)管理及學(xué)員服務(wù),助力更多學(xué)員實現(xiàn)高薪夢想。

tags:
聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。
10年以上業(yè)內(nèi)強師集結(jié),手把手帶你蛻變精英
請您保持通訊暢通,專屬學(xué)習(xí)老師24小時內(nèi)將與您1V1溝通
免費領(lǐng)取
今日已有369人領(lǐng)取成功
劉同學(xué) 138****2860 剛剛成功領(lǐng)取
王同學(xué) 131****2015 剛剛成功領(lǐng)取
張同學(xué) 133****4652 剛剛成功領(lǐng)取
李同學(xué) 135****8607 剛剛成功領(lǐng)取
楊同學(xué) 132****5667 剛剛成功領(lǐng)取
岳同學(xué) 134****6652 剛剛成功領(lǐng)取
梁同學(xué) 157****2950 剛剛成功領(lǐng)取
劉同學(xué) 189****1015 剛剛成功領(lǐng)取
張同學(xué) 155****4678 剛剛成功領(lǐng)取
鄒同學(xué) 139****2907 剛剛成功領(lǐng)取
董同學(xué) 138****2867 剛剛成功領(lǐng)取
周同學(xué) 136****3602 剛剛成功領(lǐng)取
相關(guān)推薦HOT
軟件開發(fā)管理流程中會出現(xiàn)哪些問題?

一、需求不清需求不明確是導(dǎo)致項目失敗的主要原因之一。如果需求沒有清晰定義,開發(fā)人員可能會開發(fā)出不符合用戶期望的產(chǎn)品。二、通信不足溝通問...詳情>>

2023-10-14 13:43:21
軟件定制開發(fā)中的敏捷開發(fā)是什么?

軟件定制開發(fā)中的敏捷開發(fā)是什么軟件定制開發(fā)中的敏捷開發(fā),從宏觀上看,是一個高度關(guān)注人員交互,持續(xù)開發(fā)與交付,接受需求變更并適應(yīng)環(huán)境變化...詳情>>

2023-10-14 13:24:57
什么是PlatformIo?

PlatformIO是什么PlatformIO是一個全面的物聯(lián)網(wǎng)開發(fā)平臺,它為眾多硬件平臺和開發(fā)環(huán)境提供了統(tǒng)一的工作流程,有效簡化了開發(fā)過程,并能兼容各種...詳情>>

2023-10-14 12:55:06
云快照與自動備份有什么區(qū)別?

1、定義和目標(biāo)不同云快照的主要目標(biāo)是提供一種快速恢復(fù)數(shù)據(jù)的方法,它只記錄在快照時間點后的數(shù)據(jù)變化,而不是所有的數(shù)據(jù)。自動備份的主要目標(biāo)...詳情>>

2023-10-14 12:48:59
服務(wù)器為什么要用Linux?

服務(wù)器為什么要用Linux作為服務(wù)器操作系統(tǒng)的優(yōu)選,Linux在眾多選擇中脫穎而出。Linux作為服務(wù)器操作系統(tǒng)的優(yōu)選,有其獨特的優(yōu)勢和特點。包括其...詳情>>

2023-10-14 12:34:11