元数据
XSS跨站脚本攻击剖析与防御
- 书名: XSS跨站脚本攻击剖析与防御
- 作者: 邱永华编著
- 简介: 本书通过讲述有关跨站脚本的知识,读者可以深刻地感受到跨站脚本的强大,并且详尽地了解许多与XSS相关的内容,例如,在什么环境下可以触发XSS,利用XSS漏洞可以做什么,如何防范此类攻击等。自始至终,本书贯穿着许多案例分析,读者可以在实际环境中进行安全测试。
- 出版时间 2013-09-01 00:00:00
- ISBN: 9787115311047
- 分类: 计算机-计算机综合
- 出版社: 人民邮电出版社
- PC地址:https://weread.qq.com/web/reader/4fd328f05b262f4fd266794
高亮划线
第1章 XSS初探
📌 XSS最大的特点就是能注入恶意的HTML/JavaScript代码到用户浏览的网页上,从而达到劫持用户会话的目的。 ⏱ 2020-09-07 00:05:05
1.1 跨站脚本介绍
📌 跨站脚本(Cross-Site Scripting,XSS)是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。 ⏱ 2020-09-07 00:05:29
📌 就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。 ⏱ 2020-09-07 00:05:41
📌 我们既可以把跨站脚本理解成一种Web安全漏洞,也可以理解成一种攻击手段。 ⏱ 2020-09-07 00:05:58
📌 XSS跨站脚本攻击本身对Web服务器没有直接危害,它借助网站进行传播,使网站的大量用户受到攻击。 ⏱ 2020-09-07 00:06:03
📌 时至今日,XSS依然是网站漏洞中最容易出现的一种,据说在现今的各大网站中都存在此漏洞,包括Google、腾讯等大型网站都频繁出现过,分别如图1-3和图1-4所示。 ⏱ 2020-09-07 00:06:26
📌 Web浏览器本身的设计是不安全的。浏览器包含了解析和执行JavaScript等脚本语言的能力,这些语言可用来创建各种格式丰富的功能,而浏览器只会执行,不会判断数据和程序代码是否恶意。 ⏱ 2020-09-07 00:06:40
📌 输入与输出是Web应用程序最基本的交互,在这过程之中若没做好安全防护,Web程序很容易会出现XSS漏洞。 ⏱ 2020-09-07 00:06:44
📌 现在的应用程序大部分是通过团队合作完成的,程序员之间的水平参差不齐,很少有人受过正规的安全培训,因此,开发出来的产品难免存在问题。 ⏱ 2020-09-07 00:06:47
📌 触发跨站脚本的方式非常简单,只要向 HTML 代码中注入脚本即可,而且执行此类攻击的手段众多,譬如利用CSS、Flash等。XSS技术的运用如此灵活多变,要做到完全防御是一件相当困难的事情。 ⏱ 2020-09-07 00:06:56
📌 JavaScript如此流行的原因之一是:把JavaScript加入到Web页面中非常简单,只要页面中包含一个 script 标记,就可以增加想要的JavaScript代码。 ⏱ 2020-09-07 00:07:17
📌 XSS攻击就是将非法的JavaScript、VBscript等脚本注入到用户浏览的网页上执行,而Web浏览器本身的设计是不安全的,它只负责解释和执行JavaScript等脚本语言,而不会判断代码本身是否对用户有害。 ⏱ 2020-09-07 00:09:59
📌 PHP代码中使用$_REQUEST方式获取提交的变量,因此我们可以用GET方式触发XSS,即直接在浏览器访问: ⏱ 2020-09-07 00:14:09
📌 从技术角度来说,这种示例确实证明XSS漏洞的存在性,但并没有真实地反映其危害性。 ⏱ 2020-09-07 00:16:32
1.2 XSS的分类
📌 XSS根据其特性和利用手法的不同,主要分成两大类型:一种是反射型跨站脚本;另一种是持久型跨站脚本。 ⏱ 2020-09-07 00:20:50