PHP漏洞全解(三)-xss跨站脚本攻击
2015-12-11 11:45
405 查看
本文主要介绍针对PHP网站的xss跨站脚本攻击。
跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。
攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修改口令和下载非法的内容等请求。
XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS
跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。
跨站脚本攻击的一般步骤:
1、攻击者以某种方式发送xss的http链接给目标用户
2、目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接
3、网站执行了此xss攻击脚本
4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息
5、攻击者使用目标用户的信息登录网站,完成攻击
当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似
跨站脚本被插进去了
防御方法还是使用htmlspecialchars过滤输出的变量,或者提交给自身文件的表单使用
这样直接避免了$_SERVER[“PHP_SELF”]变量被跨站
注:本文由搜狗安全编辑整理发布,转载请注明出处。
跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。
攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修改口令和下载非法的内容等请求。
XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS
跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。
跨站脚本攻击的一般步骤:
1、攻击者以某种方式发送xss的http链接给目标用户
2、目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接
3、网站执行了此xss攻击脚本
4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息
5、攻击者使用目标用户的信息登录网站,完成攻击
当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似
http://www.sectop.com/search.php?key=" method="POST">
跨站脚本被插进去了
防御方法还是使用htmlspecialchars过滤输出的变量,或者提交给自身文件的表单使用
这样直接避免了$_SERVER[“PHP_SELF”]变量被跨站
注:本文由搜狗安全编辑整理发布,转载请注明出处。
相关文章推荐
- PHP漏洞全解(二)-客户端脚本植入
- iOS程序猿如何快速掌握 PHP,化身"全栈攻城狮"?
- PHP DATE( )函数与系统时间差8小时解决办法
- php empty()和isset()
- IIS下安装Mantis所需环境的配置
- 搭建Vim为自定义的PHP开发工具的一些技巧
- ThinkPHP 项目分组配置
- 用PHP5开发多任务应用程序
- PHP编码规范
- TableLayoutPanel删除行
- zend framework 分页 Zend_Paginator 分页搜索条件
- 夺命雷公狗---PHP---玩转安卓1之数据传递
- 12.ftp的vsftpd服务安装
- 安装了wampserver后进入localhost/phpmyadmin/失败
- thinkphp调试技巧
- 前出塞:《PHP的魔术符号magic_quotes_gpc》
- thinkphp3.2 数据库 AND OR连缀使用
- PHP 错误日志
- Thinkphp3.1--uploadify上传插件的使用
- PHP开发中AJAX技术的简单应用