美文网首页网络安全实验室
网站的安全(XSS攻击篇)

网站的安全(XSS攻击篇)

作者: whuisu | 来源:发表于2017-03-12 19:56 被阅读106次

从互联网诞生起,安全威胁就一直伴随着网站的发展。

2011年6月28日晚,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等微博和私信,并自动关注一位名为hellosamy的用户。

事件的经过线索如下:20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,某网站中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问;21:02,新浪漏洞修补完毕

百度贴吧xss攻击事件

2014年3月9晚,六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍,病毒循环发帖。并且导致吧务人员,和吧友被封禁。

攻击新浪微博的手段被称作XSS攻击(跨站脚本攻击),指黑客通过纂改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

常见的XSS攻击类型有两种:

1、反射型:诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的。

2、持久性:黑客提交含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的。

XSS攻击相对“古老”,却又历久弥新,不断变出新的攻击花样,因此防范也非常复杂。

防范手段主要有两种:

1、消毒:对恶意脚本进行过滤和消毒处理,即对某些html危险字符转义。

2、HttpOnly:最早由微软提出,即浏览器禁止页面JS访问带有HttpOnly属性的Cookie。

相关文章

  • 大型网站技术架构——8. 网站的安全架构

    [TOC] 8. 网站的安全架构 8.1 网站应用攻击与防御 XSS 攻击 XSS 攻击即跨站点脚本攻击( Cro...

  • 网站的安全(XSS攻击篇)

    从互联网诞生起,安全威胁就一直伴随着网站的发展。 2011年6月28日晚,新浪微博出现了一次比较大的XSS攻击事件...

  • 跨站脚本攻击(XSS攻击)

    1、什么是XSS攻击 XSS(Cross SiteScript)攻击是跨站脚本攻击的缩写,是一种网站应用程序的安全...

  • 大型网站技术架构——核心原理与案例分析(四)

    网站的安全架构 1、网站的攻击与防御 1.1 XSS攻击即跨站点脚本攻击 1.2 注入攻击:SQL注入 ...

  • 《大型网站技术架构》笔记:架构之安全

    网站应用的攻击和防御 Web应用主要面对XSS攻击、SQL注入、CSRF和Session劫持等安全问题。 XSS攻...

  • web安全

    XSS攻击 XSS攻击,跨站脚本攻击,这是在网站中最容易产生的攻击。原理是攻击者向存在XSS漏洞的网站输入一段攻击...

  • PHP预防XSS攻击

    预防XSS攻击 从根本上说,解决办法是消除网站的XSS漏洞,这就需要网站开发者运用转义安全字符等手段,始终把安全放...

  • XSS

    XSS: 被攻击网站存在XSS漏洞,攻击者通过构造URL(DOM Based XSS)或者将攻击脚本存储在被攻击网...

  • XSS系列之3种类型

    一、概述 Cross-site scripting,简称XSS,跨站脚本攻击。XSS是一种网站应用程序的安全漏洞攻...

  • 互联网安全技术落地

    目录 技术篇 加密技术 安全协议 攻击篇 XSS CSRF DDOS SQL inject...

网友评论

    本文标题:网站的安全(XSS攻击篇)

    本文链接:https://www.haomeiwen.com/subject/nikxnttx.html