Il existe trois principaux types d'attaques par script intersite sur XSS : 1. Intersite persistant 2. Intersite non persistant 3. Intersite DOM ; Le cross-site persistant est le type de danger le plus direct, et le code cross-site est stocké sur le serveur ; le cross-site non persistant est une vulnérabilité de script cross-site réfléchissante, qui est le type le plus courant.
1. Types d'attaques de type cross-site scripting :
(1) Cross-site persistant : le type de dommage le plus direct, cross- stockage du code du site sur le serveur (base de données).
(2) Cross-site non persistant : vulnérabilité de cross-site scripting réfléchissante, le type le plus courant. L'utilisateur accède au lien serveur-cross-site et renvoie le code cross-site.
(3) DOM cross-site (DOM XSS) : DOM (document object model document object model), problèmes de sécurité causés par la logique de traitement du script client.
(Si vous souhaitez en savoir plus sur les problèmes connexes, vous pouvez visiter le site Web chinois php .)
2. Comment prévenir ?
Du point de vue des développeurs de sites Web, comment se protéger contre les attaques XSS ?
La meilleure protection contre XSS doit combiner les deux méthodes suivantes :
1. Vérifiez toutes les données d'entrée pour détecter efficacement les attaques ;
2. Encodez correctement toutes les données de sortie pour empêcher tout script injecté avec succès de s'exécuter du côté du navigateur.
Les détails sont les suivants :
Validation des entrées : avant qu'une certaine donnée ne soit acceptée comme étant affichée ou stockée, le mécanisme de validation d'entrée standard est utilisé pour vérifier la longueur, le type, la syntaxe et l'activité. règles de toutes les données d'entrée.
Encodage de sortie : avant la sortie des données, assurez-vous que les données soumises par l'utilisateur ont été correctement codées en entité. Il est recommandé d'encoder tous les caractères et de ne pas se limiter à un certain sous-ensemble.
Spécifiez explicitement le codage de la sortie : ne permettez pas aux attaquants de choisir le codage pour vos utilisateurs (comme ISO 8859-1 ou UTF 8).
Remarque : Limites de la méthode de vérification de la liste noire : le simple fait de rechercher ou de remplacer certains caractères (tels que "<" ">" ou des mots-clés similaires à "script") peut facilement être contourné par les attaques de variantes XSS. Mécanisme de vérification .
Attention aux erreurs de normalisation : avant de valider la saisie, celle-ci doit être décodée et normalisée pour se conformer à la représentation interne actuelle de l'application. Veuillez vous assurer que l'application ne décode pas deux fois la même entrée.
Du point de vue des utilisateurs de sites Web, comment se protéger contre les attaques XSS ?
Lorsque vous ouvrez un e-mail ou une pièce jointe ou parcourez un message sur un forum, des scripts malveillants peuvent être automatiquement exécuté, vous devez donc être particulièrement prudent lorsque vous effectuez ces opérations. Il est recommandé de désactiver JavaScript dans les paramètres de votre navigateur. Si vous utilisez le navigateur IE, définissez le niveau de sécurité sur « Élevé ».
Ce qu'il faut rappeler ici encore, c'est que les attaques XSS s'accompagnent en réalité de l'application réussie de l'ingénierie sociale. Il est nécessaire de renforcer la sensibilisation à la sécurité et de ne faire confiance qu'aux sites ou contenus dignes de confiance. Vous pouvez utiliser certains outils de détection pour détecter les vulnérabilités XSS. Les dommages causés par les vulnérabilités XSS sont énormes. Si des vulnérabilités sont découvertes, elles doivent être réparées immédiatement.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!