>  기사  >  운영 및 유지보수  >  크로스 사이트 스크립팅 공격의 세 가지 주요 유형은 무엇입니까?

크로스 사이트 스크립팅 공격의 세 가지 주요 유형은 무엇입니까?

王林
王林원래의
2020-06-28 16:48:5613057검색

XSS에 대한 크로스 사이트 스크립팅 공격에는 세 가지 주요 유형이 있습니다. 1. 지속적인 크로스 사이트, 2. 비영구적인 크로스 사이트, 3. DOM 크로스 사이트. 지속성 교차 사이트는 가장 직접적인 유형의 위험이며, 교차 사이트 코드는 서버에 저장됩니다. 비지속적 교차 사이트는 반사적 교차 사이트 스크립팅 취약점으로, 가장 일반적인 유형입니다.

크로스 사이트 스크립팅 공격의 세 가지 주요 유형은 무엇입니까?

1. 크로스 사이트 스크립팅 공격 유형:

(1) 지속성 크로스 사이트: 가장 직접적인 피해 유형인 크로스 사이트 코드가 서버(데이터베이스)에 저장됩니다.

(2) 비지속적 교차 사이트: 반사적 교차 사이트 스크립팅 취약점, 가장 일반적인 유형입니다. 사용자가 서버 간 사이트 링크에 ​​액세스하여 사이트 간 코드를 반환합니다.

(3) DOM 크로스 사이트(DOM XSS): DOM(문서 개체 모델 문서 개체 모델), 클라이언트 측 스크립트 처리 로직으로 인해 발생하는 보안 문제.

(더 많은 관련 문제를 알고 싶으시면 php 중국어 홈페이지를 방문하세요.)

2. 예방법은?

웹 사이트 개발자의 관점에서 XSS 공격을 방지하는 방법은 무엇입니까?

XSS에 대한 최상의 보호는 다음 두 가지 방법을 결합해야 합니다.

1. 모든 입력 데이터를 확인하고 공격을 효과적으로 탐지합니다. 모든 출력 성공적으로 삽입된 스크립트가 브라우저 측에서 실행되는 것을 방지하기 위해 데이터가 올바르게 인코딩됩니다.

자세한 내용은 다음과 같습니다.

입력 유효성 검사: 특정 데이터가 표시되거나 저장되는 것으로 승인되기 전에 표준 입력 유효성 검사 메커니즘을 사용하여 모든 입력 데이터의 길이, 유형, 구문 및 비즈니스 규칙을 확인합니다.

출력 인코딩: 데이터를 출력하기 전에 사용자가 제출한 데이터가 올바르게 엔터티 인코딩되었는지 확인하세요. 특정 하위 집합 대신 모든 문자를 인코딩하는 것이 좋습니다.

출력 인코딩을 명시적으로 지정합니다. 공격자가 사용자에 대한 인코딩(예: ISO 8859-1 또는 UTF 8)을 선택하도록 허용하지 마세요.

참고: 블랙리스트 확인 방법의 제한 사항: 일부 문자(예: "<" ">" 또는 "script"와 같은 키워드)를 찾거나 바꾸는 것만으로도 XSS 변종 공격에 의한 확인 메커니즘을 쉽게 우회할 수 있습니다.

정규화 오류에 주의하세요. 입력을 검증하기 전에 애플리케이션의 현재 내부 표현에 맞게 디코딩하고 정규화해야 합니다. 애플리케이션이 동일한 입력을 두 번 디코딩하지 않는지 확인하십시오.

웹사이트 사용자 입장에서 XSS 공격을 어떻게 방어할 수 있을까요?

이메일이나 첨부파일을 열거나 포럼 게시물을 열람할 때 악성 스크립트가 자동으로 실행될 수 있으므로 특히 주의해야 합니다. 이러한 작업. 브라우저 설정에서 JavaScript를 끄는 것이 좋습니다. IE 브라우저를 사용하는 경우 보안 수준을 "높음"으로 설정하세요.

여기서 다시 한 번 기억해야 할 점은 XSS 공격에는 실제로 사회 공학의 성공적인 적용이 수반된다는 점입니다. 보안 인식을 높이고 신뢰할 수 있는 사이트나 콘텐츠만 신뢰해야 합니다. 일부 탐지 도구를 사용하여 XSS 취약점을 탐지할 수 있습니다. XSS 취약점으로 인한 피해는 엄청납니다. 취약점이 발견되면 즉시 복구해야 합니다.

위 내용은 크로스 사이트 스크립팅 공격의 세 가지 주요 유형은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.