XSS wird auch CSS genannt, und sein vollständiger Name ist Cross-Site-Scripting-Angriff. Es wird als XSS bezeichnet, um es von CSS-Cascading-Stylesheets zu unterscheiden häufige Schwachstelle in Webprogrammen.
Prinzip:
Der Angreifer gibt bösartigen HTML-Code in eine Website mit XSS-Schwachstellen ein. Wenn andere Benutzer die Website durchsuchen, wird der HTML-Code automatisch ausgeführt, wodurch der Zweck erreicht wird Der Angriff besteht darin, die Cookies des Benutzers zu stehlen, die Seitenstruktur zu zerstören, auf andere Websites umzuleiten usw.
Zum Beispiel: Die Kommentarfunktion eines Forums filtert kein XSS, dann können wir es kommentieren, der Kommentar lautet wie folgt:
<script>
while(true) {
alert('你关不掉我');
}
</script>Im veröffentlichten Kommentar der Inhalt Text, der JS enthält. Wenn der Server diese Skripte zu diesem Zeitpunkt nicht filtert oder maskiert und als Inhalt auf der Seite veröffentlicht, führen andere Benutzer dieses Skript aus, wenn sie diese Seite besuchen.
Dies ist nur ein einfaches Beispiel. Eine böswillige Person kann den oben genannten Code in bösartigen Code umwandeln und Ihre Cookies oder andere Informationen stehlen.
XSS-Typen:
Kann im Allgemeinen unterteilt werden in: persistentes XSS und nicht-persistentes XSS
1 Persistentes XSS ist ein Skript, das den Client angreift und in den implantiert wird Server Dadurch wird jeder Benutzer mit normalem Zugriff von diesem XSS-Skript angegriffen. (Wie die obige Kommentarfunktion)
2. Nicht persistentes XSS besteht darin, einen bestimmten Parameter in der URL einer Seite aufzuregen, ein sorgfältig erstelltes bösartiges Skript in den URL-Parameter zu packen und dann hinzuzufügen Dies Veröffentlichen Sie die URL online, um Benutzer dazu zu verleiten, darauf zuzugreifen und Angriffe auszuführen
Die Sicherheitsbedrohung durch nicht persistentes XSS ist relativ gering, denn solange der Server den Geschäftscode für die Filterung anpasst, wird die URL sorgfältig erstellt durch den Hacker werden sofort ungültig. Permanente XSS-Angriffe haben manchmal große Auswirkungen. Manchmal muss der Server mehrere Tabellen löschen und viele Bibliotheken abfragen, um die Daten des Schadcodes zu löschen.
Empfohlenes Tutorial: Webserver-Sicherheit
Das obige ist der detaillierte Inhalt vonWas ist das Prinzip des XSS-Angriffs?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.
Heißer Artikel
Heiße Werkzeuge
WebStorm-Mac-Version
Nützliche JavaScript-Entwicklungstools
SublimeText3 Linux neue Version
SublimeText3 Linux neueste Version
Herunterladen der Mac-Version des Atom-Editors
Der beliebteste Open-Source-Editor
SublimeText3 Englische Version
Empfohlen: Win-Version, unterstützt Code-Eingabeaufforderungen!
SAP NetWeaver Server-Adapter für Eclipse
Integrieren Sie Eclipse mit dem SAP NetWeaver-Anwendungsserver.
