513   XSS

一,定义:
XSS(Cross Site Scripting)跨站脚本攻击

二,原理:
攻击者在客户端提交恶意Script代码,服务器端没经过任何安全过滤直接显示给其他用户,当用户浏览该页面时,嵌入页面的恶意Script代码会被执行,从而达到恶意攻击的目的

三,例子:
用户浏览论坛帖子时,cookie被推送到攻击者的服务器,因为有一个帖子的内容包含了恶意Script,但是服务端没有过滤直接显示给用户,导致所有用户浏览这个帖子时,恶意Script都会被执行,cookie都会被窃取了;攻击者根据搜集到的cookie,模仿用户登陆论坛,进行恶意操作

四,防御:
1,对用户输入内容进行安全过滤,比如< , >关键字检测
2,对主动显示给用户的内容也进行安全过滤
3,对特殊字符进行转义,

比如< 转义成&lt;



Leave a Reply

Your email address will not be published. Required fields are marked *