站长百科 | 数字化技能提升教程 数字化时代生存宝典
首页
数字化百科
电子书
建站程序
开发
服务器
办公软件
开发教程
服务器教程
软件使用教程
运营教程
热门电子书
WordPress教程
宝塔面板教程
CSS教程
Shopify教程
导航
程序频道
推广频道
网赚频道
人物频道
网站程序
网页制作
云计算
服务器
CMS
论坛
网店
虚拟主机
cPanel
网址导航
WIKI使用导航
WIKI首页
最新资讯
网站程序
站长人物
页面分类
使用帮助
编辑测试
创建条目
网站地图
站长百科导航
站长百科
主机侦探
IDCtalk云说
跨境电商导航
WordPress啦
站长专题
网站推广
网站程序
网站赚钱
虚拟主机
cPanel
网址导航专题
云计算
微博营销
虚拟主机管理系统
开放平台
WIKI程序与应用
美国十大主机
编辑“
跨站脚本
”
人物百科
|
营销百科
|
网赚百科
|
站长工具
|
网站程序
|
域名主机
|
互联网公司
|
分类索引
跳转至:
导航
、
搜索
警告:
您没有登录。如果您做出任意编辑,您的IP地址将会公开可见。如果您
登录
或
创建
一个账户,您的编辑将归属于您的用户名,且将享受其他好处。
反垃圾检查。
不要
加入这个!
[[动态站点]]会受到一种名为“[[跨站脚本攻击]]”(Cross Site Scripting, 安全专家们通常将其缩写成 [[XSS]])的威胁,而[[静态站点]]则完全不受其影响。现在的网站包含大量的动态内容以提高[[用户体验]],比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,[[Web]][[应用程序]]能够输出相应的内容。 ==跨站脚本攻击== *跨站脚本攻击(也称为XSS)指利用网站[[漏洞]]从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读[[电子邮件]]时,通常会点击其中的链接。攻击者通过在链接中插入恶意[[代码]],就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。 *网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含[[HTML]]和[[javascript]]的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的[[session]]信息。有关攻击方法的详细情况将在下面阐述。 ==XSS和CSS== *人们经常将跨站脚本攻击(Cross Site Scripting)缩写为[[CSS]],但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS。如果你听到有人说 “我发现了一个XSS漏洞”,显然他是在说跨站脚本攻击。 ==跨站脚本攻击危害== *为了搜集用户信息,攻击者通常会在有漏洞的程序中插入 JavaScript、[[VBScript]]、 [[ActiveX]]或[[Flash]]以欺骗用户。一旦得手,他们可以盗取用户帐户,修改用户设置,盗取/污染[[cookie]],做虚假广告等。每天都有大量的XSS攻击的恶意代码出现。 ==预防方法== '''从网站开发者角度防护''' *来自应用安全国际组织OWASP的建议,对XSS最佳的防护应该结合以下两种方法:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下: #输入验证:某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。 #强壮的输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。 #明确指定输出的编码方式(如ISO 8859-1或 [[UTF-8]]):不要允许攻击者为你的用户选择编码方式。 #注意黑名单验证方式的局限性:仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字),很容易被XSS变种攻击绕过验证机制。 #警惕规范化错误:验证输入之前,必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。 '''从网站用户角度防护 ''' #当你打开一封[[Email]]或附件、浏览论坛帖子时,可能恶意脚本会自动执行,因此,在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用[[IE]][[浏览器]],将安全级别设置到“高”。具体可以参照浏览器安全的相关文章。 #这里需要再次提醒的是,XSS攻击其实伴随着社会工程学的成功应用,需要增强安全意识,只信任值得信任的站点或内容。可以通过一些检测工具进行xss的漏洞检测,类似工具有亿思网站安全检测平台。针对xss的漏洞带来的危害是巨大,如有发现,应立即修复漏洞。 ==下一代跨站脚本攻击== *随着[[AJAX]](Asynchronous JavaScript and [[XML]],异步JavaScript和XML)技术的普遍应用,XSS的攻击危害将被放大。使用AJAX的最大优点,就是可以不用更新整个页面来维护数据,Web应用可以更迅速地响应用户请求。AJAX会处理来自[[Web服务器]]及源自第三方的丰富信息,这对XSS攻击提供了良好的机会。AJAX应用架构会泄漏更多应用的细节,如函数和变量名称、函数参数及返回类型、数据类型及有效范围等。AJAX应用架构还有着较传统架构更多的应用输入,这就增加了可被攻击的点。 ==相关条目== *[[钓鱼网站]] *[[CC攻击]] *[[钓鱼攻击]] *[[Smurf攻击]] *[[SQL注入攻击]] ==参考来源== *http://www.heibai.net/articles/hacker/base/2012/0517/20924.html *http://www.heibai.net/articles/hacker/base/2012/0309/19656.html [[category:电脑安全|K]] [[category:病毒|K]]
摘要:
请注意,您对站长百科的所有贡献都可能被其他贡献者编辑,修改或删除。如果您不希望您的文字被任意修改和再散布,请不要提交。
您同时也要向我们保证您所提交的内容是您自己所作,或得自一个不受版权保护或相似自由的来源(参阅
Wordpress-mediawiki:版权
的细节)。
未经许可,请勿提交受版权保护的作品!
取消
编辑帮助
(在新窗口中打开)
