Maison >Opération et maintenance >Sécurité >Quel est le principe de l'attaque XSS
XSS est également appelé CSS, et son nom complet est Cross-site script Attack. Il est nommé XSS pour le distinguer des feuilles de style en cascade CSS. vulnérabilité courante dans les programmes Web.
Principe :
L'attaquant entre du code HTML malveillant dans un site Web présentant des vulnérabilités XSS lorsque d'autres utilisateurs parcourent le site Web, le code HTML sera automatiquement exécuté, atteignant ainsi l'objectif de. l'attaque consiste à voler les cookies de l'utilisateur, à détruire la structure de la page, à rediriger vers d'autres sites Web, etc.
Par exemple : la fonction commentaire d'un forum ne filtre pas les XSS, alors on peut le commenter, le commentaire est le suivant :
<script> while(true) { alert('你关不掉我'); } </script>
Dans le commentaire publié, le contenu texte contenant du JS. À ce stade, si le serveur ne filtre pas ou n'échappe pas à ces scripts et ne les publie pas en tant que contenu sur la page, les autres utilisateurs exécuteront ce script lorsqu'ils visiteront cette page.
Ceci n'est qu'un exemple simple. Une personne malveillante peut modifier le code ci-dessus en code malveillant et voler vos cookies ou d'autres informations.
Types XSS :
Peut généralement être divisé en : XSS persistant et XSS non persistant
1 Le XSS persistant est un script qui attaque le client et est implanté dans le client. serveur En conséquence, chaque utilisateur ayant un accès normal sera attaqué par ce script XSS. (Comme la fonction de commentaire de message mentionnée ci-dessus)
2. Le XSS non persistant consiste à faire des histoires sur un certain paramètre dans l'URL d'une page, à envelopper un script malveillant soigneusement construit dans le paramètre URL, puis ajoutez ceci Publier l'URL en ligne pour inciter les utilisateurs à y accéder et à mener des attaques
La menace de sécurité du XSS non persistant est relativement faible, car tant que le serveur ajuste le code métier pour le filtrage, le L'URL soigneusement construite par le pirate informatique deviendra instantanément invalide. En revanche, les attaques XSS persistantes ont parfois un impact important. Parfois, le serveur doit supprimer plusieurs tables et interroger de nombreuses bibliothèques pour supprimer les données du code malveillant.
Tutoriel recommandé : Sécurité du serveur Web
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!