常见几大Web漏洞介绍和防御方式
发布时间:2022-05-24 09:19:28 所属栏目:安全 来源:互联网
导读:在互联网时代,数据安全与个人隐私受到了的挑战,各种新奇的技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的类型以及防御的方法。 一、xss XSS (Cross-Site Scripting),跨站脚本,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本
|
在互联网时代,数据安全与个人隐私受到了的挑战,各种新奇的技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的类型以及防御的方法。 一、xss XSS (Cross-Site Scripting),跨站脚本,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种。 跨站脚本有可能造成以下影响: 利用虚假输入表单骗取用户个人信息。 利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助发送恶意请求。 显示伪造的文章或图片。 XSS 的原理是恶意往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到盗取用户信息或其他侵犯用户安全隐私的目的。 XSS 的方式千变万化,但还是可以大致细分为几种类型。 1. 非持久型 XSS(反射型 XSS ) 非持久型 XSS 漏洞,一般是通过给别人发送带有恶意脚本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行。 非持久型 XSS 漏洞有以下几点特征: 即时性,不经过服务器存储,直接通过 HTTP 的 GET 和 POST 请求就能完成一次,拿到用户隐私数据。 需要诱骗点击,必须要通过用户点击链接才能发起。 反馈率低,所以较难发现和响应修复。 盗取用户敏感保密信息。 为了防止出现非持久型 XSS 漏洞,需要确保这么几件事情: Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。 尽量不要从 URL,document.referrer,document.forms 等这种 DOM API 中获取数据直接渲染。 尽量不要使用 eval, new Function(),document.write(),document.writeln(),window.setInterval(),window.setTimeout(),innerHTML,document.createElement() 等可执行字符串的方法。 如果做不到以上几点,也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。 前端渲染的时候对任何的字段都需要做 escape 转义编码。 2. 持久型 XSS(存储型 XSS) 持久型 XSS 漏洞,一般存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐