跨站脚本攻击是什么意思? 跨站脚本攻击xss的原理是什么?有什么危害?如何防范
\u4ec0\u4e48\u662fXSS\u8de8\u7ad9\u811a\u672c\u653b\u51fb\u4ec0\u4e48\u662fXSS\u653b\u51fb\u3000\u3000XSS\u53c8\u53ebCSS (Cross Site Script) \uff0c\u8de8\u7ad9\u811a\u672c\u653b\u51fb\u3002\u5b83\u6307\u7684\u662f\u6076\u610f\u653b\u51fb\u8005\u5f80Web\u9875\u9762\u91cc\u63d2\u5165\u6076\u610fhtml\u4ee3\u7801\uff0c\u5f53\u7528\u6237\u6d4f\u89c8\u8be5\u9875\u4e4b\u65f6\uff0c\u5d4c\u5165\u5176\u4e2dWeb\u91cc\u9762\u7684html\u4ee3\u7801\u4f1a\u88ab\u6267\u884c\uff0c\u4ece\u800c\u8fbe\u5230\u6076\u610f\u653b\u51fb\u7528\u6237\u7684\u7279\u6b8a\u76ee\u7684\u3002XSS\u5c5e\u4e8e\u88ab\u52a8\u5f0f\u7684\u653b\u51fb\uff0c\u56e0\u4e3a\u5176\u88ab\u52a8\u4e14\u4e0d\u597d\u5229\u7528\uff0c\u6240\u4ee5\u8bb8\u591a\u4eba\u5e38\u5ffd\u7565\u5176\u5371\u5bb3\u6027\u3002\u800c\u672c\u6587\u4e3b\u8981\u8bb2\u7684\u662f\u5229\u7528XSS\u5f97\u5230\u76ee\u6807\u670d\u52a1\u5668\u7684shell\u3002\u6280\u672f\u867d\u7136\u662f\u8001\u6280\u672f\uff0c\u4f46\u662f\u5176\u601d\u8def\u5e0c\u671b\u5bf9\u5927\u5bb6\u6709\u5e2e\u52a9\u3002 [\u7f16\u8f91\u672c\u6bb5]\u5982\u4f55\u5bfb\u627eXSS\u6f0f\u6d1e\u3000\u3000\u5c31\u4e2a\u4eba\u800c\u8a00\uff0c\u6211\u628aXSS\u653b\u51fb\u5206\u6210\u4e24\u7c7b\uff0c\u4e00\u7c7b\u662f\u6765\u81ea\u5185\u90e8\u7684\u653b\u51fb\uff0c\u4e3b\u8981\u6307\u7684\u662f\u5229\u7528\u7a0b\u5e8f\u81ea\u8eab\u7684\u6f0f\u6d1e\uff0c\u6784\u9020\u8de8\u7ad9\u8bed\u53e5\uff0c\u5982:dvbbs\u7684showerror.asp\u5b58\u5728\u7684\u8de8\u7ad9\u6f0f\u6d1e\u3002\u53e6\u4e00\u7c7b\u5219\u662f\u6765\u6765\u81ea\u5916\u90e8\u7684\u653b\u51fb\uff0c\u4e3b\u8981\u6307\u7684\u81ea\u5df1\u6784\u9020XSS\u8de8\u7ad9\u6f0f\u6d1e\u7f51\u9875\u6216\u8005\u5bfb\u627e\u975e\u76ee\u6807\u673a\u4ee5\u5916\u7684\u6709\u8de8\u7ad9\u6f0f\u6d1e\u7684\u7f51\u9875\u3002\u5982\u5f53\u6211\u4eec\u8981\u6e17\u900f\u4e00\u4e2a\u7ad9\u70b9\uff0c\u6211\u4eec\u81ea\u5df1\u6784\u9020\u4e00\u4e2a\u6709\u8de8\u7ad9\u6f0f\u6d1e\u7684\u7f51\u9875\uff0c\u7136\u540e\u6784\u9020\u8de8\u7ad9\u8bed\u53e5\uff0c\u901a\u8fc7\u7ed3\u5408\u5176\u5b83\u6280\u672f\uff0c\u5982\u793e\u4f1a\u5de5\u7a0b\u5b66\u7b49\uff0c\u6b3a\u9a97\u76ee\u6807\u670d\u52a1\u5668\u7684\u7ba1\u7406\u5458\u6253\u5f00\u3002
xxs\u653b\u51fb\u539f\u7406\u662f\u7f51\u9875\u5bf9\u7528\u6237\u8f93\u5165\u7684\u5b57\u7b26\u4e32\u8fc7\u6ee4\u4e0d\u4e25\uff0c\u5bfc\u81f4\u5728\u63d0\u4ea4\u8f93\u5165\u4fe1\u606f\u7684\u65f6\u5019\u6d4f\u89c8\u5668\u6267\u884c\u4e86\u9ed1\u5ba2\u5d4c\u5165\u7684xxs\u811a\u672c\uff0c\u81f4\u4f7f\u7528\u6237\u4fe1\u606f\u6cc4\u9732\u3002\u9ed1\u5ba2\u53ef\u5c06\u4f2a\u88c5\u8fc7\u7684\u542b\u4e49\u811a\u672c\u8bed\u53e5\u7684\u94fe\u63a5\u53d1\u9001\u7ed9\u53d7\u5bb3\u8005\uff0c\u5f53\u53d7\u5bb3\u8005\u70b9\u51fb\u94fe\u63a5\u7684\u65f6\u5019\uff0c\u7531\u4e8e\u7f51\u9875\u6ca1\u6709\u8fc7\u6ee4\u811a\u672c\u8bed\u53e5\uff0c\u6240\u4ee5\u6d4f\u89c8\u5668\u6267\u884c\u4e86\u811a\u672c\u8bed\u53e5\uff0c\u800c\u8fd9\u4e2a\u811a\u672c\u8bed\u53e5\u7684\u4f5c\u7528\u662f\u5c06\u7528\u6237\u7684cookie\u53d1\u9001\u5230\u9ed1\u5ba2\u6307\u5b9a\u7684\u5730\u5740\uff0c\u7136\u540e\u9ed1\u5ba2\u5c31\u53ef\u4ee5\u5229\u7528\u53d7\u5bb3\u8005\u7684cookie\u7a83\u53d6\u53d7\u5bb3\u8005\u7684\u4e2a\u4eba\u4fe1\u606f\u7b49\u7b49\u3002\u8fd9\u79cd\u653b\u51fb\u5bf9\u670d\u52a1\u5668\u6ca1\u6709\u591a\u5927\u5371\u5bb3\uff0c\u4f46\u5bf9\u7528\u6237\u5371\u5bb3\u5f88\u5927\uff0c\u8981\u9632\u8303\u8fd9\u79cd\u653b\u51fb\u5e94\u8be5\u5728\u8bbe\u8ba1\u7f51\u7ad9\u7684\u65f6\u5019\u5bf9\u7528\u6237\u63d0\u4ea4\u7684\u5185\u5bb9\u8fdb\u884c\u4e25\u683c\u7684\u8fc7\u6ee4\u3002
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。XSS,跨站脚本攻击,Cross-Site
Scripting,为了和前端的CSS避免重名,简称为XSS,是指通过技术手段,向正常用户请求的HTML页面中插入恶意脚本,执行。
这种攻击主要是用于信息窃取和破坏等目的。在防范XSS上,主要就是通过对用户输入的数据做过滤或者或者转义,可以使用框架提供的工具类HTML
Util,另外前端在浏览器展示数据的时候,要使用安全的API展示数据。比如使用inner text而不是inner HTML。
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。
网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。
假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。
跨站脚本攻击,三步如下:
1.HTML注入。所有HTML注入范例只是注入一个JavaScript弹出式的警告框:alert(1)。
2.做坏事。如果您觉得警告框还不够刺激,当受害者点击了一个被注入了HTML代码的页面链接时攻击者能作的各种的恶意事情。
3.诱捕受害者。
绛旓細璺ㄧ珯鑴氭湰鏀诲嚮锛堜篃绉颁负XSS锛夋寚鍒╃敤缃戠珯婕忔礊浠庣敤鎴烽偅閲屾伓鎰忕洍鍙栦俊鎭銆傜敤鎴峰湪娴忚缃戠珯銆佷娇鐢ㄥ嵆鏃堕氳杞欢銆佺敋鑷冲湪闃呰鐢靛瓙閭欢鏃讹紝閫氬父浼氱偣鍑诲叾涓殑閾炬帴銆傛敾鍑昏呴氳繃鍦ㄩ摼鎺ヤ腑鎻掑叆鎭舵剰浠g爜锛屽氨鑳藉鐩楀彇鐢ㄦ埛淇℃伅銆傛敾鍑昏呴氬父浼氱敤鍗佸叚杩涘埗锛堟垨鍏朵粬缂栫爜鏂瑰紡锛夊皢閾炬帴缂栫爜锛屼互鍏嶇敤鎴锋鐤戝畠鐨勫悎娉曟с傜綉绔欏湪鎺ユ敹鍒板寘鍚伓鎰...
绛旓細璺ㄧ珯鑴氭湰鏀诲嚮锛圕ross-Site Scripting锛XSS锛夋槸涓绉嶇綉缁滃畨鍏ㄦ紡娲锛屾敾鍑昏呭埄鐢ㄨ繖绉嶆紡娲炲湪缃戦〉涓敞鍏ユ伓鎰忚剼鏈紝褰撳叾浠栫敤鎴疯闂缃戦〉鏃讹紝杩欎簺鑴氭湰灏变細鍦ㄧ敤鎴风殑娴忚鍣ㄤ笂鎵ц锛屼粠鑰岀洍鍙栫敤鎴蜂俊鎭垨杩涜鍏朵粬鎭舵剰鎿嶄綔銆傝法绔欒剼鏈敾鍑鏄竴绉嶅父瑙佺殑缃戠粶鏀诲嚮鏂瑰紡銆傚綋缃戠珯娌℃湁瀵圭敤鎴疯緭鍏ョ殑鏁版嵁杩涜鍏呭垎鐨勮繃婊ゅ拰杞箟澶勭悊鏃讹紝鏀...
绛旓細璺ㄧ珯鑴氭湰鏀诲嚮锛圕rossSiteScripting锛孹SS锛夛紝绠绉颁负XSS鏀诲嚮锛鎸囨敾鍑昏呴氳繃娉ㄥ叆鎭舵剰鑴氭湰锛屼娇鐢ㄦ埛鍦ㄦ祻瑙堢綉椤垫椂鎵ц鎭舵剰鑴氭湰锛屼粠鑰岃揪鍒扮洍鍙栫敤鎴蜂釜浜轰俊鎭垨鑰呬吉閫犵敤鎴疯涓虹瓑鐩殑鐨勪竴绉嶆敾鍑绘柟寮銆係QL娉ㄥ叆鏀诲嚮锛圫QLInjection锛夛紝鏄寚閫氳繃灏嗘伓鎰廠QL璇彞鎻掑叆鍒癢eb琛ㄥ崟鎴栬匲RL鏌ヨ瀛楃涓蹭腑锛屾楠楁湇鍔″櫒瀵规伓鎰廠QL璇彞鐨勬墽琛岋紝...
绛旓細鏄竴绉嶈绠楁満瀹夊叏婕忔礊銆俋SS锛屽叏绉拌法绔欒剼鏈敾鍑伙紙Cross-SiteScripting锛夛紝鏄竴绉嶈绠楁満瀹夊叏婕忔礊锛屽畠鍏佽鏀诲嚮鑰呭湪鍙楀鑰呯殑娴忚鍣ㄤ腑鎵ц鎭舵剰鑴氭湰銆
绛旓細璺ㄧ珯鑴氭湰鏀诲嚮鏄疻eb搴旂敤涓竴绉嶅父瑙佺殑瀹夊叏婕忔礊銆傛敾鍑昏呴氳繃鍦ㄥ悎娉曠敤鎴风殑娴忚鍣ㄤ腑鎵ц鎭舵剰鑴氭湰锛岃幏鍙栫敤鎴风殑鏁忔劅淇℃伅锛堝cookies锛夛紝鎴栧鐢ㄦ埛杩涜閽撻奔鏀诲嚮銆傝繖绉嶆敾鍑婚氬父鍙戠敓鍦╓eb搴旂敤绋嬪簭娌℃湁瀵圭敤鎴疯緭鍏ョ殑鏁版嵁杩涜鍏呭垎杩囨护鍜岄獙璇佺殑鎯呭喌涓嬨係QL娉ㄥ叆 SQL娉ㄥ叆鏄竴绉嶅父瑙佺殑鏀诲嚮鏂规硶锛屾敾鍑昏呴氳繃鍦╓eb琛ㄥ崟鎻愪氦鐨勬煡璇腑...
绛旓細璺ㄧ珯鑴氭湰锛岃嫳鏂囧叏绉颁负Cross-Site Scripting锛屼篃琚О涓篨SS鎴栬法绔欒剼鏈垨璺ㄧ珯鑴氭湰鏀诲嚮锛屾槸涓绉嶉拡瀵圭綉绔欏簲鐢ㄧ▼搴忕殑瀹夊叏婕忔礊鏀诲嚮鎶鏈紝鏄唬鐮佹敞鍏ョ殑涓绉嶃傚畠鍏佽鎭舵剰鐢ㄦ埛灏嗕唬鐮佹敞鍏ョ綉椤碉紝鍏朵粬鐢ㄦ埛鍦ㄦ祻瑙堢綉椤垫椂灏变細鏀跺埌褰卞搷銆傛伓鎰忕敤鎴峰埄鐢╔SS浠g爜鏀诲嚮鎴愬姛鍚庯紝鍙兘寰楀埌寰堥珮鐨勬潈闄(濡傛墽琛屼竴浜涙搷浣)銆佺瀵嗙綉椤靛唴瀹广佷細璇...
绛旓細璺ㄧ珯鑴氭湰鏀诲嚮锛屼織绉癤SS锛岄氬父鎸囧埄鐢ㄧ綉绔欐紡娲炰粠鐢ㄦ埛澶勮幏鍙栭殣绉佷俊鎭傝法绔欒剼鏈敾鍑荤缉鍐欎负CSS锛屼絾鐢变簬灞傚彔鏍峰紡琛ㄧ殑缂╁啓閲嶅锛屼负浜嗛伩鍏嶆贩娣嗭紝鐜板湪澶ч儴鍒嗗湴鍖洪兘绉颁负XSS銆俋SS婕忔礊绫诲瀷鍙互鍒嗕负涓夌被锛屾寜鍏跺嵄瀹崇▼搴︽帓搴忕敱楂樺埌浣庡垎鍒负锛氬瓨鍌ㄥ瀷XSS銆佸弽灏勫瀷XSS銆丏OM鍨媂SS銆傚瓨鍌ㄥ瀷XSS锛氫篃绉板叾涓烘寔涔呭瀷璺ㄧ珯锛屾槸鏈涓虹洿鎺...
绛旓細璺ㄧ珯鑴氭湰鏀诲嚮锛圕ross Site Scripting锛夌缉鍐欎负CSS锛屼絾杩欎細涓庡眰鍙犳牱寮忚〃锛圕ascading Style Sheets锛孋SS锛夌殑缂╁啓娣锋穯銆傞氬父灏嗚法绔欒剼鏈敾鍑荤缉鍐欎负XSS銆傝法绔欒剼鏈敾鍑伙紙XSS锛夛紝鏄渶鏅亶鐨刉eb搴旂敤瀹夊叏婕忔礊銆傝繖绫绘紡娲炶兘澶熶娇寰楁敾鍑昏呭祵鍏ユ伓鎰忚剼鏈唬鐮佸埌姝e父鐢ㄦ埛浼氳闂埌鐨勯〉闈腑锛屽綋姝e父鐢ㄦ埛璁块棶璇ラ〉闈㈡椂锛屽垯鍙鑷村祵鍏...
绛旓細1銆XSS鏄法绔欒剼鏈敾鍑(Cross Site Scripting)锛屼负涓嶅拰灞傚彔鏍峰紡琛(Cascading Style Sheets, CSS)鐨勭缉鍐欐贩娣嗭紝鏁呭皢璺ㄧ珯鑴氭湰鏀诲嚮缂╁啓涓篨SS銆2銆佹伓鎰忔敾鍑昏呭線Web椤甸潰閲屾彃鍏ユ伓鎰廻tml浠g爜锛屽綋鐢ㄦ埛娴忚璇ラ〉涔嬫椂锛屽祵鍏ュ叾涓璚eb閲岄潰鐨刪tml浠g爜浼氳鎵ц锛屼粠鑰岃揪鍒版伓鎰忔敾鍑荤敤鎴风殑鐗规畩鐩殑銆3銆XSS鏀诲嚮鍒嗘垚涓ょ被锛屼竴绫绘槸...
绛旓細璺ㄧ珯鏀诲嚮锛屽嵆Cross Site Script Execution(閫氬父绠鍐欎负XSS)鏄寚鏀诲嚮鑰呭埄鐢ㄧ綉绔欑▼搴忓鐢ㄦ埛杈撳叆杩囨护涓嶈冻锛岃緭鍏ュ彲浠ユ樉绀哄湪椤甸潰涓婂鍏朵粬鐢ㄦ埛閫犳垚褰卞搷鐨凥TML浠g爜锛屼粠鑰岀洍鍙栫敤鎴疯祫鏂欍佸埄鐢ㄧ敤鎴疯韩浠借繘琛屾煇绉嶅姩浣滄垨鑰呭璁块棶鑰呰繘琛岀梾姣掍镜瀹崇殑涓绉嶆敾鍑绘柟寮忋璺ㄧ珯鑴氭湰鏀诲嚮鍒嗙被 1銆佹寔涔呭瀷XSS锛屽張绉板瓨鍌ㄥ瀷XSS[1] 銆2銆侀潪...
