Rumah > Operasi dan penyelenggaraan > Keselamatan > XSS攻击的原理是什么

XSS攻击的原理是什么

王林
Lepaskan: 2020-06-13 17:55:27
ke hadapan
4745 orang telah melayarinya

XSS攻击的原理是什么

XSS又称为CSS,全称为Cross-site script,跨站脚本攻击,为了和CSS层叠样式表区分所以取名为XSS,是Web程序中常见的漏洞。

原理:

攻击者向有 XSS 漏洞的网站中输入恶意的 HTML 代码,当其它用户浏览该网站时候,该段 HTML 代码会自动执行,从而达到攻击的目的,如盗取用户的 Cookie,破坏页面结构,重定向到其它网站等。

例如:某论坛的评论功能没有对 XSS 进行过滤,那么我们可以对其进行评论,评论如下:

<script>
while(true) {
    alert(&#39;你关不掉我&#39;);
}
</script>
Salin selepas log masuk

在发布评论中含有 JS 的内容文本,这时候如果服务器没有过滤或转义掉这些脚本,作为内容发布到页面上,其他用户访问这个页面的时候就会运行这段脚本。

这只是一个简单的小例子,恶意着可以将上述代码修改为恶意的代码,就可以盗取你的 Cookie 或者其它信息了。

XSS 类型:

一般可以分为: 持久型 XSS 和非持久性 XSS

1、持久型 XSS 就是对客户端攻击的脚本植入到服务器上,从而导致每个正常访问到的用户都会遭到这段 XSS 脚本的攻击。(如上述的留言评论功能)

2、非持久型 XSS 是对一个页面的 URL 中的某个参数做文章,把精心构造好的恶意脚本包装在 URL 参数重,再将这个 URL 发布到网上,骗取用户访问,从而进行攻击

非持久性 XSS 的安全威胁比较小,因为只要服务器调整业务代码进行过滤,黑客精心构造的这段 URL 就会瞬间失效了,而相比之下,持久型 XSS 的攻击影响力很大,有时候服务端需要删好几张表,查询很多库才能将恶意代码的数据进行删除。

推荐教程:web服务器安全

Atas ialah kandungan terperinci XSS攻击的原理是什么. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Label berkaitan:
sumber:juejin.im
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan