1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
事件背景:
定期對各個應用進行安全檢測,當然,其中的一種檢測方式是通過webscan360,發現多個**存在跨站指令碼攻擊漏洞。下面是360的描述:
漏洞型別:跨站指令碼攻擊(xss)
所屬程式語言:php
描述:
目標存在跨站指令碼攻擊。
1.跨站指令碼攻擊就是指惡意攻擊者向網頁中插入一段惡意**,當使用者瀏覽該網頁時,嵌入到網頁中的惡意**就會被執行。一般用來盜取瀏覽器cookie
2.跨站指令碼攻擊漏洞,英文名稱cross site scripting,簡稱css又叫xss。它指的是惡意攻擊者向web頁面中插入一段惡意**,當使用者瀏覽該頁面時,嵌入到web頁面中的惡意**就會被執行,從而達到惡意攻擊者的特殊目的。
危害:
1.惡意使用者可以使用該漏洞來盜取使用者賬戶資訊、模擬其他使用者身份登入,更甚至可以修改網頁呈現給其他使用者的內容。
2.比如有一天你開啟乙個**,突然彈出乙個視窗 提示叫你登陸 你以為是這個**讓你登陸 當你輸入賬戶密碼以後你的所有操作都被黑客記錄了,還有小白問「盜取瀏覽器cookie有什麼用」 黑客盜取你的瀏覽器cookies以後 可以利用你的cookie登陸你在特定**或者論壇的賬戶。
解決:
在這裡,我舉其中乙個**漏洞,經360指出存在漏洞的頁面看到包含漏洞的**為(『<?phpecho$_get["url"];?>』),$_get變數用於收集來自 method="get"的表單中的值,所以對於不法使用者如果輸入非法url而我們又沒有對輸入的內容做過濾,那麼就容易被人利用此漏洞達到不可告人的目的。
360給出的解決方法:
避免xss的方法之一主要是將使用者所提供的內容輸入輸出進行過濾,許多語言都有提供對html的過濾,因為我的**為php,所以用htmlentities()或是htmlspecialchars()對使用者的輸入進行過濾,這樣來保證使用者輸入的url合法性。
跨站指令碼攻擊 XSS
跨站指令碼攻擊,cross site script,為了區別css,英文縮寫為xss xss攻擊,通常指hacker通過 html注入 篡改了網頁,插入惡意的指令碼,從而在使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。xss根據效果的不同可以分為如下幾類 1.反射型xss 通過將使用者輸入的資料 反...
Xss跨站指令碼攻擊
1.內容 攻擊者在web網頁中插入惡意js 當使用者瀏覽該瀏覽器頁面的時候,嵌入web中的js 會被執行,從而受到惡意攻擊,這就是跨站指令碼攻擊。xss指令碼植入方式前台接收資料存入資料庫,在渲染頁面時從資料庫中讀取相應資訊 2 分類 1 反射性的xss 發出請求時,xss 出現在url中,作為輸入...
xss 跨站指令碼攻擊
這是乙個非常簡單的攻擊。兩個頁面如下 out.print request.getparameter content 如果攻擊者在輸入框裡面輸入以下內容 那麼就有以下結果 當然,使用者還可以輸入 不僅可以注入script,還可以直接注入html http localhost 8080 test myj...