XSS
2016-10-15 12:03
239 查看
1、Xss的作用体现在哪里?
Xss产生的原因,如何避免,如何利用?Xss注入脚本之后,会持久地显示在网页中么?如何能持久地显示,原理是什么?为什么其他用户也会受到影响。
Xss分为反射式和持久式,反射式是指破坏者针对于网址的漏洞,加上自己设计的参数,形成一个特有的链接,通过某种方式发送给用户,用户点击之后,就会中招。试想,我根据xxx.com的xss漏洞,设计一个链接,当用户访问这个链接的时候,会执行一个脚本,将当前用户的cookie发送到指定的邮箱中。
利用反射式,生成的链接会异常的长,而且掺杂了很多script语句,用户很难中招。解决方法是对其参数部分进行加密,而浏览器能够是被这种加密
持久式Xss一般是通过评论、博客等渠道注入到网站中,会对Web服务器造成影响,其他用户一旦访问到被注入了js的页面,就会中招。
xss在注入的过程中,很可能会遭到转义,这时有一些方法可以避免被转义,
'><xss a='
所有的输入就会变成
INPUT type="text" value=''>
2、如何来发掘xss漏洞?
数据交互的地方容易产生跨站脚本3、为什么cookie设置HttpOnly可以防止Xss攻击
因为设置了HttpOnly,cookie只能由后端访问,前端脚本无法访问或操作Cookie。如何设置HttpOnly相关文章推荐
- Javascript入门(可供CSS/JS/XSS初学者参考)
- Sql-injection In Xss[SIX]
- The Week of Baidu Bugs - Day 05: 百度空间多处XSS漏洞
- Xss 浅谈
- Advanced XSS exploitation with AJAX
- JVM调优总结 -Xms -Xmx -Xmn -Xss
- 如何在php中修补XSS漏洞
- anti-XSS微软的官方的几个地址
- xss的部分利用技术
- java jvm 参数 -Xms -Xmx -Xmn -Xss 调优总结
- 跨站腳本攻擊(XSS):過濾不完的惡夢,又有新攻擊語法!
- xss漏洞发现及利用
- 一只XSS蠕虫的实现
- 浅析XSS(Cross Site Script)漏洞原理
- xss漏洞和csrf漏洞防御
- Cross-Site Scripting(XSS): 跨站脚本攻击介绍
- 使用antixss防御xss
- 【web安全】Xss Exploits and Defense翻译4
- 深掘XSS漏洞场景之XSS Rootkit
- Asp.net安全架构之1:xss(跨站脚本)