教育行業(yè)A股IPO第一股(股票代碼 003032)

全國咨詢/投訴熱線:400-618-4000

XSS跨站腳本攻擊是什么意思?為什么叫XSS?

更新時(shí)間:2021年04月12日14時(shí)42分 來源:傳智教育 瀏覽次數(shù):

XSS全拼為Cross Site Scripting,意為跨站腳本,其縮寫原本為CSS,但這與HTML中的層疊樣式表( Cascading Style Sheets)縮寫重名了,為了區(qū)分就將跨站腳本改為了XSS。

XSS是Web應(yīng)用系統(tǒng)最常見的安全漏洞之一,它主要源于Web應(yīng)用程序?qū)τ脩糨斎霗z查和過濾不足。攻擊者可以利用XSS漏洞把惡意代碼( HTM代碼或JavaScript腳本)注入網(wǎng)站中,當(dāng)有用戶瀏覽該網(wǎng)站時(shí),這些惡意代碼就會(huì)被執(zhí)行,從而達(dá)到攻擊的目的。

1618208898116_XSS.png

通常,在XSS攻擊中,攻擊者會(huì)通過郵件或其他方式誘使用戶點(diǎn)擊包含惡意代碼的鏈接,例如攻擊者通過E-mail向用戶發(fā)送一個(gè)包含惡意代碼的網(wǎng)站home.com,用戶點(diǎn)擊鏈接后,瀏覽器會(huì)在用戶毫不知情的情況下執(zhí)行鏈接中包含的惡意代碼,將用戶與home.com交互的Cookie和Session等信息發(fā)送給攻擊者,攻擊者拿到這些數(shù)據(jù)之后,就會(huì)偽裝成用戶與真正的網(wǎng)站進(jìn)行會(huì)話,從事非法活動(dòng),其過程如下圖所示。

1618208947784_xss跨腳本攻擊.jpg

對于XSS漏洞,最核心的防御措施就是對用戶的輸人進(jìn)行檢查和過濾,包括URL、查詢關(guān)鍵字、HTTP頭、POST 數(shù)據(jù)等,僅接受指定長度范圍、格式適當(dāng)、符合預(yù)期的內(nèi)容,對其他不符合預(yù)期的內(nèi)容一律進(jìn)行過濾。 除此之外,當(dāng)向HTML標(biāo)簽或?qū)傩灾胁迦瞬豢尚艛?shù)據(jù)時(shí),要對這些數(shù)據(jù)進(jìn)行相應(yīng)的編碼處理。將重要的Cookie標(biāo)記為http only,這樣JavaScript腳本就不能訪問這個(gè)Cookie,避免了攻擊者利用JavaScript腳本獲取Cookie。

原文地址《什么是XSS跨站腳本攻擊?》http://test.itheima.com/areanew/schoolzixun/test/20210412/143715.html



猜你喜歡:

常見的安全測試工具有哪些?

10款移動(dòng)app安全測試工具推薦

6款自動(dòng)化應(yīng)用安全測試工具推薦

傳智教育軟件測試工程師培訓(xùn)課程

0 分享到:
和我們在線交談!