亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

Web網(wǎng)絡(luò)安全分析XSS漏洞原理詳解

 更新時(shí)間:2021年11月03日 09:14:11   作者:Phanton03167  
這篇文章主要為大家介紹了Web網(wǎng)絡(luò)安全分析XSS漏洞的原理詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步早日升職加薪

XSS基礎(chǔ)

XSS漏洞介紹

跨站腳本(Cross-Site Scripting,簡(jiǎn)稱為XSS或跨站腳本或跨站腳本攻擊)是一種針對(duì)網(wǎng)站應(yīng)用程序的安全漏洞攻擊技術(shù),是代碼注入的一種。它允許惡意用戶將代碼注入網(wǎng)頁,其他用戶在瀏覽網(wǎng)頁時(shí)就會(huì)收到影響。惡意用戶利用XSS代碼攻擊成功后,可能得到很高的權(quán)限(如執(zhí)行一些操作)、私密網(wǎng)頁內(nèi)容、會(huì)話和cookie等各種內(nèi)容。

XSS攻擊可以分為三種:反射型、存儲(chǔ)型和DOM型。

XSS漏洞原理

反射型XSS

反射型XSS又稱非持久型XSS,這種攻擊方式往往具有一次性。

攻擊方式:攻擊者通過電子郵件等方式將包含XSS代碼的惡意鏈接發(fā)送給目標(biāo)用戶。當(dāng)目標(biāo)用戶訪問該鏈接時(shí),服務(wù)器接收該目標(biāo)用戶的請(qǐng)求并進(jìn)行處理,然后服務(wù)器把帶有XSS代碼的數(shù)據(jù)發(fā)送給目標(biāo)用戶的瀏覽器,瀏覽器解析這段帶有XSS代碼的惡意腳本后,就會(huì)觸發(fā)XSS漏洞。

存儲(chǔ)型XSS

存儲(chǔ)型XSS又稱持久型XSS,攻擊腳本將被永久地存放在目標(biāo)服務(wù)器的數(shù)據(jù)庫或文件中,具有很高的隱蔽性。

攻擊方式:這種攻擊多見于論壇、博客和留言板,攻擊者在發(fā)帖的過程中,將惡意腳本連同正常信息一起注入帖子的內(nèi)容中。隨著帖子被服務(wù)器保存下來,惡意腳本也永久地被存放在服務(wù)器的后端存儲(chǔ)器中。當(dāng)其他用戶瀏覽這個(gè)被注入了惡意腳本的帖子時(shí),惡意腳本會(huì)在他們的瀏覽器中得到執(zhí)行。

例如,惡意攻擊者在留言板中加入以下代碼。

<script>alert(/hacked by hacker/)</script>

當(dāng)其他用戶訪問留言板時(shí),就會(huì)看到一個(gè)彈窗??梢钥闯觯鎯?chǔ)型XSS的攻擊方式能夠?qū)阂獯a永久地嵌入夜歌頁面中,所有訪問這個(gè)頁面的用戶都將成為受害者。如果我們能夠謹(jǐn)慎對(duì)待不明鏈接,那么反射型XSS攻擊將沒有多大作為,而存儲(chǔ)型XSS則不同,由于它注入在一些我們信任的頁面,因此無論我們多么小心都難免會(huì)受到攻擊。

DOM型XSS

DOM全稱Document Object Model,使用DOM可以使程序和腳本能夠動(dòng)態(tài)訪問和更新文檔內(nèi)容、結(jié)構(gòu)及樣式。

DOM型XSS其實(shí)是一種特殊類型的反射型XSS,它是基于DOM文檔對(duì)象模型的一種漏洞。

HTML的標(biāo)簽都是節(jié)點(diǎn),而這些節(jié)點(diǎn)組成了DOM的整體結(jié)構(gòu)——節(jié)點(diǎn)樹。通過HTML DOM,樹中所有節(jié)點(diǎn)均可通過JavaScript進(jìn)行訪問。所有HTML(節(jié)點(diǎn))均可被修改,也可以創(chuàng)建或刪除節(jié)點(diǎn)。HTML DOM樹結(jié)構(gòu)如圖67所示。

請(qǐng)?zhí)砑訄D片描述

圖67 HTML DOM樹

在網(wǎng)站頁面中有許多元素,當(dāng)頁面到達(dá)瀏覽器時(shí),瀏覽器會(huì)為頁面創(chuàng)建一個(gè)頂級(jí)的Document Object文檔對(duì)象,接著生成各個(gè)子文檔對(duì)象,每個(gè)頁面元素對(duì)應(yīng)一個(gè)文檔對(duì)象,每個(gè)文檔對(duì)象包含屬性、方法和事件??梢酝ㄟ^JS腳本對(duì)文檔對(duì)象進(jìn)行編輯,從而修改頁面的元素。也就是說,客戶端的腳本程序可以通過DOM動(dòng)態(tài)修改頁面內(nèi)容,從客戶端獲取DOM中的數(shù)據(jù)并在本地執(zhí)行。由于DOM是在客戶端修改節(jié)點(diǎn)的,所以基于DOM型的XSS漏洞不需要與服務(wù)器交互,它只發(fā)生在客戶端處理數(shù)據(jù)的階段。

攻擊方式:用戶請(qǐng)求一個(gè)經(jīng)過專門設(shè)計(jì)的URL,它由攻擊者提交,而且其中包含XSS代碼。服務(wù)器的響應(yīng)不會(huì)以任何形式包含攻擊者的腳本。當(dāng)用戶的瀏覽器處理這個(gè)響應(yīng)時(shí),DOM對(duì)象就會(huì)處理XSS代碼,導(dǎo)致存在XSS漏洞。

以上就是Web網(wǎng)絡(luò)安全分析XSS漏洞原理詳解的詳細(xì)內(nèi)容,更多關(guān)于Web網(wǎng)絡(luò)安全XSS漏洞的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

最新評(píng)論