xss攻击技术原理

一.xss攻击技术原理

1.跨站脚本攻击(CrossSiteScript,XSS),是最常见的Web应用程序安全漏洞之一,也是OWASP2017Top10之一,近年来大量知名网站,包括Facebook、Twitter、百度、搜狐等都曾发现多个XSS安全漏洞,研究数据表明近68%的网站受到XSS攻击威胁,这些都表明XSS攻击已经成为目前Web应用程序最为严重和普遍的安全问题。为了不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
2.XSS通常来说就是在网页中嵌入恶意代码,当用户访问网页的时候,恶意脚本在浏览器上执行。Script脚本在各
种浏览器版本中广泛使用,目前绝大多数网站都使用JavaScript用来进行计算、管理Cookie等工作,这些脚本运行在客户端上,而不是服务器上。
 

二.xss攻击类型

1.与代码注入类似,XSS攻击的根源同样是Web应用程序对用户输入内容的安全检验与过滤不够完善,在许多流行的Web论坛、博客、留言本及其他允许用户交互的Web应用程序中,用户提交内容中可以包含HTML、JavaScript及其他脚本代码,而一旦Web应用程序没有对这些输入的合法性进行检查与过滤,就很有可能让这些恶意代码逻辑包含在服务器动态产生或更新
的网页中。
2.与代码注入不同的是,XSS攻击的最终攻击目标并非Web服务器,Web服务器上的应用程序在XSS攻击中充当的角色是“帮凶”,而非“受害者”,而真正的“受害者”则是访问这些Web服务器上的其他用户。
3.攻击目的包括绕过客户端安全策略访问敏感信息,窃取或修改会话Cookie、进行客户端渗透攻击获取访问权限等。 
4.非持久型XSS漏洞(也被称为反射XSS漏洞)是最为普遍的类型,当Web浏览器在HTTP请求参数或HTML提交表单中提供的数据,被立即由服务器端脚本使用,产生一个提供给该用户的结果页面,而缺乏恰当的请求数据安全验证和过滤,那么就很可能存在着非持久型XSS漏
洞。该漏洞的一个典型例子是站点搜索引擎功能,如果用户搜索特定的一个查询字符串,这个查询字符串通常会在查询结果页面中进行重新显示,如果查询结果页面没有对输入查询字符串进行恰当的转义和过滤处理,以消除HTML控制字符那么就可能导致被XSS包含跨脚本攻击。
5.这类漏洞表面看起来并不是什么严重的问题,因为黑客向存在漏洞的网站提交恶意输入,只能攻击黑客自己的安全上下文环境,如黑客自己的浏览器会话Cookie、缓存对象等。但我们需要认识到,攻击者可以非常简单地在一些不相关的网站上嵌入隐藏页面或欺骗性链接,从而
使得受害者浏览器能自动地在后台浏览指向有漏洞网站页面的URL,在这种场景下,攻击者就可以侵入到大量受害者的安全上下文环境中,窃取受害者的敏感信息。

三.xxs攻击类型-反射行


1.一个典型的非持久型XSS过程:假设

图片[1]-xss攻击技术原理-可能资源网

test.com网站的Web应用程序登录处理页面存在XSS漏洞,将用户名
作为URL的参数进行传递如

图片[2]-xss攻击技术原理-可能资源网

http://www.test.com/login.php?sessionid=12345&username=xxx,当用户正常登录时,欢迎页面中显示“欢迎,xxx”,而当攻击者在用户名参数中包含恶意脚本,就会在欢迎页面中包含并执行。

四.xxs攻击类型-存储型

1.持久型XSS漏洞是危害最为严重的XSS漏洞,它通常出现于一些可以将用户输入持久性地保存在Web服务器端,并在一些“正常”页面中持续性地显示,从而能够影响所有访问这些页面的其他用户,因此该类XSS漏洞也被称作存储性XSS漏洞。这种漏洞通常出现在留言本、BBS和博客等Web应用程序中,攻击者通过留言、帖子、评论等方式注入包含恶意脚本的内容之后,这些恶意脚本将永久性的包含在网站页面中,从而危害其它阅读留言本、BBS和博客的用户。特别是在一些社会网络型网站中,针对该类漏洞的客户端执行代码可以被设计成具备跨用户进行自我传播的能力,从而成为XSS蠕虫。

THE END
抢沙发

请登录后发表评论

    暂无评论内容

相关推荐

老师最信任的课代表的胸软软的

老师最信任的课代表的胸软软的-可能资源网
老师非常信任的课代表是一个非常负责任和可靠的学生。他/她在班级中扮演着重要的角色,始终保持着诚实和正直的品质。他/她对学习非常认真,总是尽力完成作业和任务,并且愿意帮助其他同学解决问...
可能的头像-可能资源网可能12天前
044

新手建站一丨零基础建站教程之域名注册

宝箱与勇士最终修改教程

宝箱与勇士最终修改教程-可能资源网
【前言】昨天发布了新版本的修改版,然后有大神让我删了,我一直都是自己拿了他们破解了金币广告之类的然后加以修改,论坛里除了我好像没有改源文件超强装备和经验值天赋什么的,这里给原创们道...
可能的头像-可能资源网可能23天前
015

upx加速器破解教程

upx加速器破解教程-可能资源网
【软件名称】:upx加速器 【软件版本】:1.2.95 【软件大小】:29.33MB 【测试机型】:iq8pro 【下载地址】:自行应用商城下载去不去签都可以,好像没签名效验下面开始教程不是小白的可以跳过这...
可能的头像-可能资源网可能1个月前
0134

麻豆短视频破解版下载

麻豆短视频破解版下载-可能资源网
麻豆短视频是一款非常流行的短视频应用,它为用户提供了丰富多样的短视频内容。在麻豆短视频上,你可以欣赏到各种各样的有趣、搞笑和有创意的视频。 这款应用的用户群体非常广泛,无论是年轻人...
可能的头像-可能资源网可能1个月前
0208

我的好妈妈bd

我的好妈妈bd-可能资源网
亲爱的妈妈:您好!我想借此机会向您表达我对您的感激之情。感谢您一直以来对我的关心和爱护,让我在成长的道路上感受到无尽的温暖和支持。首先,我要感谢您对我学业上的支持。无论是在学校还是...
可能的头像-可能资源网可能前天
08