web安全之xss攻击原理及防范
作者:互联网
什么是XSS攻击?
XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。
XSS的重点不在于跨站点,而在于脚本的执行。
那么XSS的原理是:
恶意攻击者在web页面中会插入一些恶意的script代码。
当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,
因此会达到恶意攻击用户的目的。
比如在页面中插入一段代码:<script>alert(“hey!you are attacked”)</script>,出现弹框阻塞代码进程
XSS的危害
其实归根结底,XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码。
窃取网页浏览中的cookie值
在网页浏览中我们常常涉及到用户登录,登录完毕之后服务端会返回一个cookie值。这个cookie值相当于一个令牌,拿着这张令牌就等同于证明了你是某个用户。
如果你的cookie值被窃取,那么攻击者很可能能够直接利用你的这张令牌不用密码就登录你的账户。如果想要通过script脚本获得当前页面的cookie值,通常会用到document.cookie。
试想下如果像空间说说中能够写入xss攻击语句,那岂不是看了你说说的人的号你都可以登录(不过某些厂商的cookie有其他验证措施如:Http-Only保证同一cookie不能被滥用)
劫持流量实现恶意跳转
这个很简单,就是在网页中想办法插入一句像这样的语句:<script>window.location.href="http://www.baidu.com";</script>
那么所访问的网站就会被跳转到百度的首页。
早在2011年新浪就曾爆出过严重的xss漏洞,导致大量用户自动关注某个微博号并自动转发某条微博。具体各位可以自行百度。
想要了解更详细的可以访问:https://zhuanlan.zhihu.com/p/26177815
https://www.cnblogs.com/tugenhua0707/p/10909284.html
(目前本人正在xss研究相关问题,有写不对地方勿喷,咱们可以一起研究哈)
标签:XSS,xss,网页,web,用户,cookie,防范,页面 来源: https://www.cnblogs.com/smokefish/p/14742120.html