深圳網(wǎng)站設計公司談XSS漏洞的幾種類型
2022-05-28 分類: 網(wǎng)站建設
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執(zhí)行,從而達到惡意攻擊用戶的特殊目的。XSS漏洞表現(xiàn)為各種形式,并且可分為3類型。XSS漏洞是Web應用程序中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定方法,那么就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為,通常難以看到XSS漏洞的威脅,而該病毒則將其發(fā)揮得淋漓盡致。雖然這些3種漏洞類型具有一些的特點,但在如果確定及利用這些漏洞方面,仍然存在一些重要的差異,下面眉山網(wǎng)頁設計——創(chuàng)新互聯(lián)將分別介紹每一類XSS的漏洞。
1.保存型XSS漏洞
如果一名用戶提交的數(shù)據(jù)被保存在應用程序中(通常保存在一個后端數(shù)據(jù)庫中),然后不經(jīng)適當?shù)剡^濾或凈化就顯示給其他用戶,這時就會出現(xiàn)這種保存型的XSS漏洞。
2.反射型XSS漏洞
如果一個應用應用程序使用動態(tài)頁面向用戶顯示錯誤的消息,就會造成一種常見的XSS漏洞。通常,使用該頁面的機制非常方便,因為它允許它們從應用程序中調(diào)用一個定制的錯誤頁面,而不需對錯的頁面進行硬編碼。使用該頁面會使用一個包含消息文本的參數(shù),并在響應中將這個文本返回給用戶。
3.基于DOM的XSS漏洞
第三類的XSS漏洞并不具有與保存型和反射型一樣的特殊性的行為模式,前兩種類型都是提取用戶控制的數(shù)據(jù)并以危險的方式將這些數(shù)據(jù)返回給用戶。在第三種的漏洞中,攻擊者的JavaScript是通過以下過程得以執(zhí)行的。
①用戶請求一個經(jīng)過專門設計的URL,它有攻擊者提交,并且其中包含嵌入式JavaScript
②服務器的響應中并不以任何形式包含的攻擊者的腳本
③當用戶的瀏覽器處理這個響應時,上述腳本得以處理
1.保存型XSS漏洞
如果一名用戶提交的數(shù)據(jù)被保存在應用程序中(通常保存在一個后端數(shù)據(jù)庫中),然后不經(jīng)適當?shù)剡^濾或凈化就顯示給其他用戶,這時就會出現(xiàn)這種保存型的XSS漏洞。
2.反射型XSS漏洞
如果一個應用應用程序使用動態(tài)頁面向用戶顯示錯誤的消息,就會造成一種常見的XSS漏洞。通常,使用該頁面的機制非常方便,因為它允許它們從應用程序中調(diào)用一個定制的錯誤頁面,而不需對錯的頁面進行硬編碼。使用該頁面會使用一個包含消息文本的參數(shù),并在響應中將這個文本返回給用戶。
3.基于DOM的XSS漏洞
第三類的XSS漏洞并不具有與保存型和反射型一樣的特殊性的行為模式,前兩種類型都是提取用戶控制的數(shù)據(jù)并以危險的方式將這些數(shù)據(jù)返回給用戶。在第三種的漏洞中,攻擊者的JavaScript是通過以下過程得以執(zhí)行的。
①用戶請求一個經(jīng)過專門設計的URL,它有攻擊者提交,并且其中包含嵌入式JavaScript
②服務器的響應中并不以任何形式包含的攻擊者的腳本
③當用戶的瀏覽器處理這個響應時,上述腳本得以處理
網(wǎng)頁題目:深圳網(wǎng)站設計公司談XSS漏洞的幾種類型
分享地址:http://m.2m8n56k.cn/news/160114.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設計、網(wǎng)站建設、網(wǎng)站營銷、網(wǎng)站制作、網(wǎng)站維護、靜態(tài)網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容
- 網(wǎng)站前端開發(fā)人員應該掌握哪些 2022-05-28
- 商城系統(tǒng)源碼有什么作用和優(yōu)勢呢? 2022-05-28
- 成都定制房地產(chǎn)APP 2022-05-28
- 什么是信息發(fā)布型企業(yè)網(wǎng)站? 2022-05-28
- 為何會出現(xiàn)如此現(xiàn)象,是否能加以利用呢? 2022-05-28
- 域名的基礎知識 2022-05-28
- 企業(yè)開發(fā)APP應用要做好哪些事情 2022-05-28
- 大神手把手教你:如何正確關(guān)閉二級域名站點 2022-05-28
- 新網(wǎng)站怎么優(yōu)化才能提高網(wǎng)站排名 2022-05-28
- 淺析利用問答平臺推廣獲取外鏈的技巧 2022-05-28
- SEO提升站點排名使用網(wǎng)站優(yōu)化軟件還是人工優(yōu)化效果好? 2022-05-28
- 質(zhì)量為首,打造網(wǎng)站推廣企業(yè)的核心競爭力 2022-05-28
- 優(yōu)化排名之關(guān)鍵詞選擇 2022-05-28
- 跟大品牌學營銷,為何越學越糟糕? 2022-05-28
- 如何查處網(wǎng)站歷史快照 分享兩種查詢方法 2022-05-28
- 網(wǎng)站內(nèi)容關(guān)鍵詞為什么會消失 2022-05-28
- 創(chuàng)新互聯(lián)員工奮戰(zhàn)24小時,只為項目更加完美 2022-05-28
- PS小技巧!聊聊大家最熟悉的變換復制操作的原理 2022-05-28
- 網(wǎng)頁設計中的系統(tǒng)字體和顏色 2022-05-28