XSS攻擊的(de)類型以及防禦方法
來(lái)源:mozhe 2021-08-20
經常跟大(dà)家(jiā)講DDoS攻擊、CC攻擊,好(hǎo)像還(hái)沒有(yǒu)給大(dà)家(≤αjiā)分(fēn)享過XSS攻擊它的(de)類型£♦©怎麽去(qù)防禦。今天小(xiǎo)墨就αφ≤(jiù)帶大(dà)家(jiā)了(le)解下(xià☆★ε₩):
什(shén)麽是(shì)XSS攻擊?
XXS 攻擊全稱跨站(zhàn)腳本攻擊,是(sh→™✘↕ì)一(yī)種在Web應用(yòng)中的(de)₩ 計(jì)算(suàn)機(jī)安全漏洞,它允許惡意Web用πβ(yòng)戶将代碼植入到(dào)提供給其他(tā)使用(yòng)↓"的(de)頁面中。
有(yǒu)哪幾種類型?
經常見(jiàn)到(dào)XSS攻擊有(yǒu)三種:α∞ α反射XSS攻擊、DOM-based型XSS攻擊以及儲存型XSS攻擊。
1、 反射型XSS攻擊
反射性XSS一(yī)般是(shì)攻擊者通(tōng)過特定手法€Ω(如(rú)電(diàn)子(zǐ)郵件(jiàn)),誘使用(yòφ↔ng)戶去(qù)訪問(wèn)一(yī)個(gè)包含惡意代碼的←↑♣(de)URL,當受害者點擊這(zhè)些(xiē)專門(mén)©ε設計(jì)鏈接的(de)時(shí)候,惡意代碼會(huì)直接在>↑™受害主機(jī)上(shàng)的(de)浏覽器(q£σì)上(shàng)執行(xíng),反射型X∏↔♦∏SS通(tōng)常出現(xiàn)在網站(zhàn)搜索欄,™ ©用(yòng)戶登入口等地(dì)方,常用(yòng)來(♥∑•÷lái)竊取客戶端或進行(xíng)釣魚欺騙。
2、 存儲型XSS攻擊
存儲型XSS攻擊也(yě)叫持久型XSS,主要(yào)将XSS代碼提←ε≤交儲存在服務器(qì)端(數(shù)據庫,內(nèi)存,文(wén)件(j <♠&iàn)系統等)下(xià)次請(qǐng)求目标頁面時(shí₽↕δ)不(bù)用(yòng)在提交XSS代碼。→"£☆當目标用(yòng)戶訪問(wèn)該頁∞→ ®面獲取數(shù)據時(shí),XSS代碼會(hu♣✔ì)從(cóng)服務器(qì)解析之後加載出來(l<→ái),返回到(dào)浏覽器(qì)做(zuò)正¶♦✔¥常的(de) 和(hé)JS解析執行(xíng),XSS攻擊就(ji ∏ù)發生(shēng)了(le)。儲存型XSS一(yī)般出現(xi àn)在網站(zhàn)留言,評論,博客日(rì)志(zhΩφΩì)等交互處,惡意腳本儲存到(dào)客戶端或者服務端的(de)數(shùε ✘)據庫中。
3、 DOM-based 型XSS攻擊
DOM-based 型 它是(shì)基于DOM的(de)XSS攻擊是(sh♥§ ì)指通(tōng)過惡意腳本修改頁面的(de)DOM×$結構,是(shì)純粹發生(shēng)在客戶端的(de)攻擊。•& DOM型XSS攻擊中,取出和(hé)執行(xíng)惡意代碼由浏覽器(q♥✔•ì)端完成,屬于前端JavaScript自(zì)身(shēn)的(de)→∏安全漏洞。
如(rú)何防禦XSS攻擊?
1、 對(duì)輸入內(nèi)容的(de)特定©≥字符進行(xíng)編碼,列如(rú)表示html标記等符号。
2、 對(duì)重要(yào)的(de)cookie設 ®∞置httpOnly,防止客戶端通(tōng)過document。cε§ookie讀(dú)取cookie,此HTTP開(kāi)頭由服務端↓Ω設置。
3、 将不(bù)可(kě)信的(de)輸出URT參數(shù)之 &前,進行(xíng)URLEncode操作(zuò),而對(duσ¥₩™ì)于從(cóng)URL參數(shù)中獲取值一(yī)定要(yào) ♥★β進行(xíng)格式檢查
4、 不(bù)要(yào)使用(yòng)Eval來∏×→≠(lái)解析并運行(xíng)不(bù)确定的(de)數(shù)≈α據或代碼,對(duì)于JSON解析請(qǐng)使Ωλσ用(yòng)JSON。Parse()方法
5、 後端接口也(yě)應該要(yào)做(zuò)到(dࣥo)關鍵字符過濾的(de)問(wèn)題。
關于墨者安全
墨者安全緻力于安全防護、服務器(qì)高(gāo)防、網絡高(gπ♥÷āo)防、ddos防護、cc防護、dns防護、防劫持、高(gāo•Ω₽)防服務器(qì)、高(gāo)防dns、網站(zhàδ "n)防護等方面的(de)服務,全網第一(yī)款指紋識别技(jì)↕©&術(shù)防火(huǒ)牆,自(zì)研的(de)WAF≥¥♥≠指紋識别架構,提供任意CC和(hé)DDoS攻擊防禦。
XXS 攻擊全稱跨站(zhàn)腳本攻擊,是(sh→™✘↕ì)一(yī)種在Web應用(yòng)中的(de)₩ 計(jì)算(suàn)機(jī)安全漏洞,它允許惡意Web用πβ(yòng)戶将代碼植入到(dào)提供給其他(tā)使用(yòng)↓"的(de)頁面中。
有(yǒu)哪幾種類型?
經常見(jiàn)到(dào)XSS攻擊有(yǒu)三種:α∞ α反射XSS攻擊、DOM-based型XSS攻擊以及儲存型XSS攻擊。
1、 反射型XSS攻擊
反射性XSS一(yī)般是(shì)攻擊者通(tōng)過特定手法€Ω(如(rú)電(diàn)子(zǐ)郵件(jiàn)),誘使用(yòφ↔ng)戶去(qù)訪問(wèn)一(yī)個(gè)包含惡意代碼的←↑♣(de)URL,當受害者點擊這(zhè)些(xiē)專門(mén)©ε設計(jì)鏈接的(de)時(shí)候,惡意代碼會(huì)直接在>↑™受害主機(jī)上(shàng)的(de)浏覽器(q£σì)上(shàng)執行(xíng),反射型X∏↔♦∏SS通(tōng)常出現(xiàn)在網站(zhàn)搜索欄,™ ©用(yòng)戶登入口等地(dì)方,常用(yòng)來(♥∑•÷lái)竊取客戶端或進行(xíng)釣魚欺騙。
2、 存儲型XSS攻擊
存儲型XSS攻擊也(yě)叫持久型XSS,主要(yào)将XSS代碼提←ε≤交儲存在服務器(qì)端(數(shù)據庫,內(nèi)存,文(wén)件(j <♠&iàn)系統等)下(xià)次請(qǐng)求目标頁面時(shí₽↕δ)不(bù)用(yòng)在提交XSS代碼。→"£☆當目标用(yòng)戶訪問(wèn)該頁∞→ ®面獲取數(shù)據時(shí),XSS代碼會(hu♣✔ì)從(cóng)服務器(qì)解析之後加載出來(l<→ái),返回到(dào)浏覽器(qì)做(zuò)正¶♦✔¥常的(de) 和(hé)JS解析執行(xíng),XSS攻擊就(ji ∏ù)發生(shēng)了(le)。儲存型XSS一(yī)般出現(xi àn)在網站(zhàn)留言,評論,博客日(rì)志(zhΩφΩì)等交互處,惡意腳本儲存到(dào)客戶端或者服務端的(de)數(shùε ✘)據庫中。
3、 DOM-based 型XSS攻擊
DOM-based 型 它是(shì)基于DOM的(de)XSS攻擊是(sh♥§ ì)指通(tōng)過惡意腳本修改頁面的(de)DOM×$結構,是(shì)純粹發生(shēng)在客戶端的(de)攻擊。•& DOM型XSS攻擊中,取出和(hé)執行(xíng)惡意代碼由浏覽器(q♥✔•ì)端完成,屬于前端JavaScript自(zì)身(shēn)的(de)→∏安全漏洞。
如(rú)何防禦XSS攻擊?
1、 對(duì)輸入內(nèi)容的(de)特定©≥字符進行(xíng)編碼,列如(rú)表示html标記等符号。
2、 對(duì)重要(yào)的(de)cookie設 ®∞置httpOnly,防止客戶端通(tōng)過document。cε§ookie讀(dú)取cookie,此HTTP開(kāi)頭由服務端↓Ω設置。
3、 将不(bù)可(kě)信的(de)輸出URT參數(shù)之 &前,進行(xíng)URLEncode操作(zuò),而對(duσ¥₩™ì)于從(cóng)URL參數(shù)中獲取值一(yī)定要(yào) ♥★β進行(xíng)格式檢查
4、 不(bù)要(yào)使用(yòng)Eval來∏×→≠(lái)解析并運行(xíng)不(bù)确定的(de)數(shù)≈α據或代碼,對(duì)于JSON解析請(qǐng)使Ωλσ用(yòng)JSON。Parse()方法
5、 後端接口也(yě)應該要(yào)做(zuò)到(dࣥo)關鍵字符過濾的(de)問(wèn)題。
墨者安全緻力于安全防護、服務器(qì)高(gāo)防、網絡高(gπ♥÷āo)防、ddos防護、cc防護、dns防護、防劫持、高(gāo•Ω₽)防服務器(qì)、高(gāo)防dns、網站(zhàδ "n)防護等方面的(de)服務,全網第一(yī)款指紋識别技(jì)↕©&術(shù)防火(huǒ)牆,自(zì)研的(de)WAF≥¥♥≠指紋識别架構,提供任意CC和(hé)DDoS攻擊防禦。
上(shàng)一(yī)篇:你(nǐ)知(zhī)道(dào)高(gā¥♥<σo)防DNS解析的(de)優勢有(yǒu)哪些(xiē)麽?α"
最新文(wén)章(zhāng)
-
高(gāo)防網絡安全的(de)全方位探索一(yī)、高(gāo)防網絡安全的(de)基本概念
高(gāo)防網絡安全,簡單來(lái)說(shuō),是(★ shì)指通(tōng)過一(yī)系列✔↔技(jì)術(shù)手段和(hé)措施來(lái)抵 -
防禦CC攻擊的(de)有(yǒu)效方法随著(zhe)網絡技(jì)術(shù)的(de)迅猛發展和(hé) ∑普及,網絡已改變每一(yī)個(gè)人(rén)的(de)生(shēn₹××g)活和(hé)工(gōng)作(zuò)方式,網絡安全問(wèn)題∏±βα也(yě)越來(lái)
-
DDOS防禦過程中的流量清洗的技術原理">DDOS防禦過程中的(de)流量清洗的(de)技 ™¥(jì)術(shù)原理(lǐ)在DDOS防護過程中,流量清洗是(shì)必不(bù)可(kě)少(shǎoεγβ€)的(de)技(jì)術(shù)操作(zuò)。那(nà)麽精準α★的(de)流量清洗具體(tǐ)是(shì)通(tōng)過什∏×>©(shén)麽樣
-
DNS攻擊的(de)常見(jiàn)類型有(yǒu)哪些(xiē)?說(shuō)起dns攻擊,有(yǒu)哪些(xiē)€₹•常見(jiàn)的(de)dns攻擊類型呢(φ"σne)?如(rú)何防護網站(zhàn)DNS不(bù)被惡意攻擊£↑¥γ呢(ne)?當下(xià),國(guó)外(wài)知(zhī)名站(z" hàn)
-
互聯網金(jīn)融行(xíng)業(yè)如(rú)何預防DDoS攻±擊?随著(zhe)互聯網的(de)快(kuài)速發展,國(guó)內(nèi)金Ω€γ (jīn)融行(xíng)業(yè)開(kāi)始向互聯網數(s←♥hù)字化(huà)轉型,數(shù)據顯示,亞洲±>∏→有(yǒu)超過10億人(rén)使
-
墨者安全以數(shù)字內(nèi)容資産化(huà)∞♦ 及交易、網絡安全防護及數(shù)據安全保≥護為(wèi)核心,基于大(dà)數(shù)據↕≠₽內(nèi)容智能(néng)精準分(fē₽♥π≤n)析及應用(yòng)為(wèi)基礎拓展多(duō)級生(shēng)¥↔态産品線MORE ABOUT US >
Copyright © 2020 深圳市墨者安↔©₹全科技有限公司 版權所有(yǒu)
- 京ICP證000000号
-
粵公網安備 44030502003892号
粵網信備44030519847610230019号
