WEB攻擊手段及防禦第1篇-XSS
這種型別攻擊者一般通過在網頁中嵌入含有惡意攻擊指令碼的連結,或者通過傳送帶指令碼的連結給受害者,這個指令碼連結是攻擊者自己的伺服器,使用者通過點選該連結就能達到攻擊的目的。如http://www.test.com/p=,這樣受害者的網頁就嵌入了這段指令碼,受害者通過點選連結觸發攻擊指令碼。
新浪微博曾經就出現過一次較為嚴重的XSS攻擊事件,攻擊者通過傳送一個帶有連結的微博誘導使用者點選,通過點選指令碼連結大量使用者自動傳送某些不良資訊和私信並自動關注攻擊者的微博賬號,這是典型的反射型漏洞。
這次新浪微博事件顯然是一次推廣營銷而已,並沒有嚴重影響新浪的服務,然而現實中攻擊者可以通過竊取使用者cookie獲取使用者名稱密碼等重要資訊來偽造使用者交易、竊取使用者的財產等影響使用者財產安全的惡意行為。
2、儲存型漏洞
這種型別是影響最為廣泛的且危害網站安全自身的攻擊方式,攻擊者通過上傳惡意指令碼到網站伺服器或儲存到資料庫中,惡意指令碼就會包含在網頁中,這樣會導致所有瀏覽該網頁的使用者有中招的可能。這種攻擊型別一般常見在部落格、論壇等網站中。
防禦手段
1、危險字元過濾
即對使用者輸入的危險字元進行轉義,如>轉義為”>”,<轉義為”<” ,如果被轉義有誤解,可以對
2、使用http only的cookie
httpOnly由微軟在IE中提出,禁止使用者在瀏覽器中通過指令碼訪問帶有httpOnly的cookie。有了這個特性,如果是使用者敏感資訊儲存在cookie中的,可以通過在cookie加下httpOnly屬性避免XSS攻擊cookie造成使用者資訊洩漏。
最後,雖然這些攻擊方式都有對應的防禦手段,但是這些攻擊方式也有日異月新的變化和發展,在開發web專案時也一定要重視XSS指令碼攻擊帶來的危害,及時加強防禦,不要讓攻擊有可乘之機。
相關文章
- WEB攻擊與防禦Web
- web安全之XSS攻擊原理及防範Web
- 防禦XSS攻擊的七條原則
- 防禦 XSS 攻擊的七條原則
- CSRF攻擊原理及預防手段
- 跨域及相關攻擊&防禦總結(JSONP、CORS、CSRF、XSS)跨域JSONCORS
- 如何有效防禦XSS攻擊?網路安全學習教程
- 10大網路安全攻擊手段及防禦方法(二)!
- 常見網路攻擊手段有哪些?防禦方法是什麼?
- 淺談DDOS攻擊攻擊與防禦
- 內容安全策略(CSP),防禦 XSS 攻擊的好助手
- 常見web攻擊型別有哪些?如何預防及防範web攻擊?Web型別
- web常見的攻擊方式有哪些?如何防禦?Web
- 網路釣魚攻擊常見手段及防範措施!
- 5個常見的網路安全攻擊手段及防禦方法
- 網路釣魚攻擊常用方法及防禦措施!
- 常見HTTPS攻擊及防禦方法詳解HTTP
- cc攻擊防禦解決方法
- 網站被攻擊如何防禦網站
- 淺談DDos攻擊與防禦
- Web安全系列(四):XSS 的防禦Web
- Web 漏洞分析與防禦之 XSS(一)Web
- 前端防禦XSS前端
- JeecgBoot抵禦XSS攻擊實現方案boot
- 12行JS程式碼的DoS攻擊分析及防禦JS
- XXE攻擊攻擊原理是什麼?如何防禦XXE攻擊?
- 詳解Xss 及SpringBoot 防範Xss攻擊(附全部程式碼)Spring Boot
- 高防伺服器主要防禦的攻擊伺服器
- DDOS攻擊原理,種類及其防禦
- 伺服器如何防禦CC攻擊伺服器
- 跨域攻擊分析和防禦(中)跨域
- CC攻擊的原理是什麼?如何防禦CC攻擊?
- React 防注入攻擊 XSS攻擊 (放心大膽的用吧)React
- apt技術手段防禦APT
- 萬能密碼的SQL隱碼攻擊漏洞其PHP環境搭建及程式碼詳解+防禦手段密碼SQLPHP
- 高防伺服器如何防禦網路攻擊伺服器
- WMI 的攻擊,防禦與取證分析技術之防禦篇
- DDOS伺服器防禦的方法有哪些,如何防禦DDOS攻擊伺服器