web安全之xss攻击原理及防范

2021/5/7 18:57:54

本文主要是介绍web安全之xss攻击原理及防范,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

什么是XSS攻击?

XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。

XSS的重点不在于跨站点,而在于脚本的执行。

那么XSS的原理是:
  恶意攻击者在web页面中会插入一些恶意的script代码。

  当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,

  因此会达到恶意攻击用户的目的。

       比如在页面中插入一段代码:<script>alert(“hey!you are attacked”)</script>,出现弹框阻塞代码进程

 

 

XSS的危害

  其实归根结底,XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码。

窃取网页浏览中的cookie值

   在网页浏览中我们常常涉及到用户登录,登录完毕之后服务端会返回一个cookie值。这个cookie值相当于一个令牌,拿着这张令牌就等同于证明了你是某个用户。

  如果你的cookie值被窃取,那么攻击者很可能能够直接利用你的这张令牌不用密码就登录你的账户。如果想要通过script脚本获得当前页面的cookie值,通常会用到document.cookie。

  试想下如果像空间说说中能够写入xss攻击语句,那岂不是看了你说说的人的号你都可以登录(不过某些厂商的cookie有其他验证措施如:Http-Only保证同一cookie不能被滥用)

劫持流量实现恶意跳转

   这个很简单,就是在网页中想办法插入一句像这样的语句:<script>window.location.href="http://www.baidu.com";</script>

  那么所访问的网站就会被跳转到百度的首页。

  早在2011年新浪就曾爆出过严重的xss漏洞,导致大量用户自动关注某个微博号并自动转发某条微博。具体各位可以自行百度。

 

  想要了解更详细的可以访问:https://zhuanlan.zhihu.com/p/26177815

               https://www.cnblogs.com/tugenhua0707/p/10909284.html

  (目前本人正在xss研究相关问题,有写不对地方勿喷,咱们可以一起研究哈)

 



这篇关于web安全之xss攻击原理及防范的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程