聚美优品的pc网站建设,营销机构代码查询,中信建设有限责任公司工会,光明新区做网站谈一谈你对XSS 漏洞的理解
1.漏洞描述 跨站脚本攻击是一种Web安全漏洞。攻击者利用该漏洞#xff0c;在网页中注入恶意代码#xff0c;等待受害者访问被注入恶意代码的网页。网页中的恶意代码会被浏览器识别#xff0c;并执行。恶意代码通常是Javascript脚本#xff0c;由…谈一谈你对XSS 漏洞的理解
1.漏洞描述 跨站脚本攻击是一种Web安全漏洞。攻击者利用该漏洞在网页中注入恶意代码等待受害者访问被注入恶意代码的网页。网页中的恶意代码会被浏览器识别并执行。恶意代码通常是Javascript脚本由于JS的灵活性导致XSS的攻击面特别大。 2.漏洞原理 服务器对用户提交的数据过滤不严导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行。 3.漏洞场景 在搜索框、留言板、登录框、聊天室等一切收集用户输入的地方并且捕获用户输入之后会将用户的输入回显在网页中就容易产生xss漏洞。 常见的攻击场景 固定会话攻击 4.漏洞评级 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐ 高危 5.漏洞危害 盗取各种用户账号窃取用户Cookie资料冒充用户身份进入网站劫持用户会话执行任意操作刷流量执行弹窗广告传播蠕虫病毒... 6.漏洞验证 scriptalert(/xss/);/scriptscriptconfirm(/xss/);/scriptscriptconfirm(xss);/scriptscriptprompt(xss);/script 7.漏洞利用 XSS 盲打网站后台管理员Cookies。。。 8.防御方案 输入过滤白名单和黑名单输入验证数据消毒输出编码 9.典型案例
