XSS攻撃の原理とは

XSS は CSS とも呼ばれ、正式名称はクロスサイト スクリプトです。クロスサイト スクリプティング攻撃です。CSS カスケード スタイル シートと区別するために XSS と呼ばれています。 Web プログラムによくある脆弱性。

原則:

攻撃者は、XSS 脆弱性のある Web サイトに悪意のある HTML コードを入力し、他のユーザーが Web サイトを閲覧すると、その HTML コードが自動的に実行され、目的が達成されます。攻撃は、ユーザーの Cookie を盗む、ページ構造を破壊する、他の Web サイトにリダイレクトするなどです。

例: フォーラムのコメント機能は XSS をフィルターしません。その後、コメントすることができます。コメントは次のとおりです:

<script>
while(true) {
    alert(&#39;你关不掉我&#39;);
}
</script>

公開されたコメントの内容JS を含むテキスト。現時点で、サーバーがこれらのスクリプトをフィルタリングまたはエスケープせず、ページ上のコンテンツとして公開しない場合、他のユーザーがこのページにアクセスしたときにこのスクリプトを実行することになります。

これは単なる例であり、悪意のある人が上記のコードを悪意のあるコードに変更し、Cookie やその他の情報を盗む可能性があります。

XSS タイプ:

一般に、永続的 XSS と非永続的 XSS

1 に分類できます。永続的 XSS は、クライアントを攻撃し、クライアントに埋め込まれるスクリプトです。その結果、通常のアクセス権を持つすべてのユーザーがこの XSS スクリプトによって攻撃されることになります。 (上記のメッセージコメント機能など)

2. 非永続型 XSS とは、ページの URL 内の特定のパラメータを大騒ぎし、慎重に作成された悪意のあるスクリプトを URL パラメータ内にラップし、非永続 XSS のセキュリティ上の脅威は、サーバーがフィルタリング用のビジネス コードを調整している限り、URL はサーバーによって慎重に構築されるため、比較的小さいです。ハッカーは即座に無効になります。対照的に、永続的な XSS 攻撃は大きな影響を及ぼします。場合によっては、悪意のあるコードのデータを削除するために、サーバーが複数のテーブルを削除し、多くのライブラリにクエリを実行する必要があります。

推奨チュートリアル:

Web サーバーのセキュリティ

以上がXSS攻撃の原理とはの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。