xss:跨站指令碼攻擊
漏洞產生的原理:瀏覽器未對使用者的輸入內容做嚴格審查,同時html語言具有文字和標籤屬性,瀏覽器會將惡意構造的輸入識別成標籤,從而執行。
漏洞攻擊原理:攻擊者利用特殊字元構造惡意的指令碼**,欺騙瀏覽器將其識別成標籤,從而達到使瀏覽器執行惡意操作的目的。
可能產生的後果:例如利用js指令碼可以盜取使用者cookie,或者其他的未授權操作。如果時儲存型xss,甚至可以引發ddos攻擊。
反射型xss:伺服器本身沒有惡意指令碼存在,攻擊者事先製作好攻擊鏈結,並且誘導使用者去點選,例如搜尋視窗這種。一旦使用者點選發出請求後,xss**出現在url中作為輸入傳入伺服器,伺服器端解析響應,xss**隨著響應內容回送到瀏覽器端,瀏覽器解析後執行惡意操作。這個過程就像一次反射。
漏洞的防禦修復:針對漏洞產生的原理,往往是最有效的。在不需要html輸入的地方,嚴格對html標籤,一些特殊字元過濾或者轉義掉,例如尖括號,引號,alert,onclick等。
會話固定漏洞小結 概念 原理 檢測及防禦
概念 會話固定 session fixation 是一種誘騙受害者使用攻擊者指定的會話標識 sessionid 的攻擊手段。這是攻擊者獲取合法會話標識的最簡單的方法。會話固定也可以看成是會話劫持的一種型別,原因是會話固定的攻擊的主要目的同樣是獲得目標使用者的合法會話,不過會話固定還可以是強迫受害者使...
目錄遍歷漏洞原理及其防禦方法
目錄遍歷 路徑遍歷 是由於web伺服器或者web應用程式對使用者輸入的檔名稱的安全性驗證不足而導致的一種安全漏洞,使得攻擊者通過利用一些特殊字元就可以繞過伺服器的安全限制,訪問任意的檔案 可以是web根目錄以外的檔案 甚至執行系統命令。該漏洞常常出現在檔案讀取或者展示等對檔案讀取互動的功能塊。1.對...
CSRF攻擊原理及防禦
於 一 csrf攻擊原理 csrf是什麼呢?csrf全名是cross site request forgery,是一種對 的惡意利用,csrf比xss更具危險性。想要深入理解csrf的攻擊特性我們有必要了解一下 session的工作原理。session我想大家都不陌生,無論你用.net或php開發過...