经历一次真实的XSS跨站攻击以及应付之策
2016-04-21 16:26
302 查看
这是一个线上真实的事情,黑客已经攻破网站,并主动给我们上报了问题的根源以及解决方案还是不错的。
1.前端网站某处存在用户评论输入,黑客再此输出跨站脚本,下面的是从数据库查出来的
2.后台管理人员如果浏览到这条数据就会触发这个js,这个js会跳转到真实的地址然后执行js这里只选择一部分
从中可以看出其实黑客就是让管理人员执行这段js然后发送其cookie到执行的服务器再存储起来,然后黑客就可以冒充管理人员
3.所以知道了这个流程防御其实不难,字符串转义等等。
1.前端网站某处存在用户评论输入,黑客再此输出跨站脚本,下面的是从数据库查出来的
2.后台管理人员如果浏览到这条数据就会触发这个js,这个js会跳转到真实的地址然后执行js这里只选择一部分
从中可以看出其实黑客就是让管理人员执行这段js然后发送其cookie到执行的服务器再存储起来,然后黑客就可以冒充管理人员
3.所以知道了这个流程防御其实不难,字符串转义等等。
相关文章推荐
- 【MySQL】 into outfile csv格式文件添加 字段
- 一句话,grunt是个神器啊
- 【c语言】输出杨辉三角
- Redis(五)Java连接Redis实例
- spring整合消息队列rabbitmq
- os 与 stat 在文件中获取相关的信息
- Qt 常用类 —— QPixmap
- 关于STM32外接12MHz晶振的处理办法
- Android 最新API ViewDragHelper详解及实例
- mysql设置远程连接
- obs classic 代码阅读一
- POJ NO.1041 John's trip(字典序输出欧拉回路)
- Django用户登录与注册——小白教程
- os 与 stat 在文件中获取相关的信息
- 剑指offer之面试题11:数值的整数次方
- JavaMail类
- 跳转到AppStore
- jQuery EasyUI 表单
- C#开发微信门户及应用(32)--微信支付接入和API封装使用
- vs2010中 包含目录 和 常规-》附加包含目录 的区别