资料下载

免费的网络漏洞扫描仪

什么是跨站点脚本(XSS)?为什么XSS是威胁,XSS如何工作?不同类型的XSS攻击

由管理员撰写。发表于 Web应用程序漏洞扫描程序

3.625 1 1 1 1 1 评分3.63(8投票)
压住他

了解xss跨站点脚本攻击和xss漏洞类型1我们的两部分系列之一 跨站脚本 (XSS) 解释什么 XSS攻击。我们还将仔细研究 XSS漏洞如何发挥作用 (网址,Cookie,网络缓存等)并分析其 对商业网站的影响网络服务器,使用热门的真实示例 网站 那是 使用不同的XSS漏洞进行打击。我们也谈论 不同类型的XSS攻击 这使得网站用户很难识别和检测他们。第二部分将提供 跨站点脚本攻击示例,谈谈不同类型的 XSS漏洞 并解释 如何识别XSS漏洞 在您的Web应用程序中& web servers.

第二部分 分析XSS攻击,显示出攻击的容易程度 创建一个XSS脚本,并提供有关的有用信息 如何识别XSS漏洞.

网站通常从两个方面进行操作:后端和前端。在后端,有熟悉的系统层可以为前端生成元素-Web应用程序服务,语言渲染器(例如PHP或Python),数据库等。在保护网站安全时,这些领域通常是最关注的领域,理所当然的。历史上一些最具破坏性的黑客攻击是对后端系统成功攻击的结果。但是存在HTML,CSS和最特别是JavaScript之类的前端的情况同样容易受到攻击,并且后果不堪设想。

免费下载-Web应用程序漏洞和网络扫描程序

跨站脚本(通常称为XSS)将针对网站用户的攻击重点放在网站本身上。这些攻击通过让用户的客户端执行未经网站验证或清除的恶意前端代码来利用用户的浏览器。攻击者利用用户来完成攻击,而用户通常是目标受害者(例如通过注入代码感染他们的计算机)。用户加载受信任的网站,以某种方式注入流氓脚本,并且当页面由其浏览器呈现时,将执行流氓脚本。随着越来越多的网站以浏览器呈现的代码(而不是Flash或静态页面)的形式执行其操作,很容易看出为什么XSS会成为重大威胁。

为什么XSS构成威胁,它如何发挥作用?

了解xss跨站点脚本攻击和xss漏洞类型2实际上,XSS攻击对网站的用户可能非常危险,而不仅仅是因为其客户可能失去信任。当用户访问网站时,通常很多内容都隐藏在某种形式的身份验证后面,例如Facebook几乎没有用,除非您拥有一个帐户。身份验证不仅隐藏特权信息,而且还提供对帐户本身的访问(社交媒体信息,进行购买的能力等)。该身份验证所需的某些信息以cookie的形式存储在用户的计算机上。如果可以通过注入的XSS漏洞破坏用户的cookie,那么他们的帐户也可以被劫持。

这可能会产生巨大的影响,尤其是在较大的内容管理系统(CMS)平台甚至社交媒体网站上。软件项目管理服务JIRA发现自己是XSS攻击的目标,该攻击影响了Apache基金会等大型软件公司。这导致管理员帐户受到破坏,这可能导致进一步的数据泄露,公司机密,专有软件等一系列后果。实际上,如果您曾经是MySpace的用户(还记得该网站吗?),您可能听说过最臭名昭著的XSS漏洞之一:JS.Spacehero蠕虫,也称为MySpace Samy蠕虫。这些攻击不仅造成帐户盗用的严重问题,而且还造成了可观的经济损失。尽管Samy蠕虫基本上无害,但它在不到一天的时间内就以指数级传播,迫使MySpace脱机几个小时,据报道使他们损失了超过100万美元的收入。

不同类型的XSS攻击

XSS漏洞利用 可以采用多种形式,这使得网站用户很难检测到它们。指向网站的无害的短URL链接(如TinyURL或Bitly),论坛签名图像,修改的网站地址,甚至是完全看不见的东西(例如,混淆,以故意混淆,难以辨认的方式编写)–任何其中的更多功能可用于完成XSS利用。实际上,如果用户的浏览器可以加载它(例如图像)或执行它(例如代码),则存在XSS利用的机会。

返回“ Web应用程序安全扫描器”部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置