XSS 漏洞的理解

谈一谈你对XSS 漏洞的理解

1.漏洞描述

  • 跨站脚本攻击是一种Web安全漏洞。
  • 攻击者利用该漏洞,在网页中注入恶意代码,等待受害者访问被注入恶意代码的网页。
  • 网页中的恶意代码会被浏览器识别,并执行。
  • 恶意代码通常是Javascript脚本,由于JS的灵活性,导致XSS的攻击面特别大。

2.漏洞原理

        服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行。

3.漏洞场景

        在搜索框、留言板、登录框、聊天室等一切收集用户输入的地方,并且捕获用户输入之后,会将用户的输入回显在网页中,就容易产生xss漏洞。

        常见的攻击场景:

  • 固定会话攻击

4.漏洞评级

⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐ 高危

5.漏洞危害

  • 盗取各种用户账号;
  • 窃取用户Cookie资料,冒充用户身份进入网站;
  • 劫持用户会话执行任意操作;
  • 刷流量,执行弹窗广告;
  • 传播蠕虫病毒;
  • ...

6.漏洞验证

7.漏洞利用

  • XSS 盲打网站后台管理员Cookies
  • 。。。

8.防御方案

  • 输入过滤(白名单和黑名单)
  • 输入验证
  • 数据消毒
  • 输出编码

9.典型案例

你可能感兴趣的:(xss跨站脚本,安全,web安全)