Heim >Betrieb und Instandhaltung >Sicherheit >Was ist das Prinzip des XSS-Angriffs?

Was ist das Prinzip des XSS-Angriffs?

王林
王林nach vorne
2020-06-13 17:55:274743Durchsuche

Was ist das Prinzip des XSS-Angriffs?

XSS wird auch CSS genannt, und sein vollständiger Name ist Cross-Site-Scripting-Angriff. Es wird als XSS bezeichnet, um es von CSS-Cascading-Stylesheets zu unterscheiden häufige Schwachstelle in Webprogrammen.

Prinzip:

Der Angreifer gibt bösartigen HTML-Code in eine Website mit XSS-Schwachstellen ein. Wenn andere Benutzer die Website durchsuchen, wird der HTML-Code automatisch ausgeführt, wodurch der Zweck erreicht wird Der Angriff besteht darin, die Cookies des Benutzers zu stehlen, die Seitenstruktur zu zerstören, auf andere Websites umzuleiten usw.

Zum Beispiel: Die Kommentarfunktion eines Forums filtert kein XSS, dann können wir es kommentieren, der Kommentar lautet wie folgt:

<script>
while(true) {
    alert(&#39;你关不掉我&#39;);
}
</script>

Im veröffentlichten Kommentar der Inhalt Text, der JS enthält. Wenn der Server diese Skripte zu diesem Zeitpunkt nicht filtert oder maskiert und als Inhalt auf der Seite veröffentlicht, führen andere Benutzer dieses Skript aus, wenn sie diese Seite besuchen.

Dies ist nur ein einfaches Beispiel. Eine böswillige Person kann den oben genannten Code in bösartigen Code umwandeln und Ihre Cookies oder andere Informationen stehlen.

XSS-Typen:

Kann im Allgemeinen unterteilt werden in: persistentes XSS und nicht-persistentes XSS

1 Persistentes XSS ist ein Skript, das den Client angreift und in den implantiert wird Server Dadurch wird jeder Benutzer mit normalem Zugriff von diesem XSS-Skript angegriffen. (Wie die obige Kommentarfunktion)

2. Nicht persistentes XSS besteht darin, einen bestimmten Parameter in der URL einer Seite aufzuregen, ein sorgfältig erstelltes bösartiges Skript in den URL-Parameter zu packen und dann hinzuzufügen Dies Veröffentlichen Sie die URL online, um Benutzer dazu zu verleiten, darauf zuzugreifen und Angriffe auszuführen

Die Sicherheitsbedrohung durch nicht persistentes XSS ist relativ gering, denn solange der Server den Geschäftscode für die Filterung anpasst, wird die URL sorgfältig erstellt durch den Hacker werden sofort ungültig. Permanente XSS-Angriffe haben manchmal große Auswirkungen. Manchmal muss der Server mehrere Tabellen löschen und viele Bibliotheken abfragen, um die Daten des Schadcodes zu löschen.

Empfohlenes Tutorial: Webserver-Sicherheit

Das obige ist der detaillierte Inhalt vonWas ist das Prinzip des XSS-Angriffs?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:juejin.im. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen