当前位置:黑客基地-QQ密码暴力破解器|盗QQ号|盗号技术|盗号软件|盗号方法|黑客盗号网站qq盗号技术黑客技术黑客新闻
日期:2018-08-12 12:47:41  来源:www.wldnc.com

Web黑客技术:XSS攻击详解

 XSS(Cross Site Scripting)攻击的全称是跨站脚本攻击,跨站脚本攻击的方式是恶意攻击者在网页中嵌入恶意脚本程序,当用户打开网页的时候脚本程序便在客户端执行,盗取客户的cookie及用户名和密码,下载执行病毒及木马程序,甚至获得客户端的admin权限等。

www.wldnc.com

XSS攻击的方式

1.假设界面上存在一个输入框用以让用户输入数据,此时恶意用户在录入数据的时候输入的并不是用户名,而是一段可执行的脚本程序alert(f),由于某种原因,这段代码在服务端验证不通过,服务端重定向回这个页面,并带上用户输入的user_name参数,如下alert(f),这时页面会弹出alert(f),如果是一段恶意代码,后果不堪设想

2.恶意用户可以发一个包含恶意脚本的推广链接给终端用户,该链接经过URLEcode转码以迷惑用户,一旦用户点击,则恶意脚本执行,对用户造成危害。

3.用户提交表单,数据保存到数据库中,需要到另一个界面去展示。这时恶意用户输入一段恶意脚本,保存在数据库中。当页面展示时,恶意脚本被植入到页面中,从而造成危害。例如在一篇非常火的博客中嵌入危害代码。用户浏览该博客时,脚本执行,从而达到恶意攻击的目的。

XSS攻击的防范

XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“<;”,“>”转义后为“>;”,“”转义后为“&;”,“"”转义后为“";”

Tags:

作者:www.wldnc.com

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接- 网站地图
Copyright © 2018-2019 Wldnc.Com. All Rights Reserved .
本站内容来源网络收集,仅供用于黑客技术安全学习参考,请遵守相关法律法规
打造国内最大的黑客资源免费发布站
提供最权威的黑客攻防教程,黑客安全工具
黑客基地-QQ密码暴力破解器|盗QQ号|盗号技术|盗号软件|盗号方法|黑客盗号网站