美文网首页我爱编程
360网络安全学院 | 小白学安全之跨站脚本攻击

360网络安全学院 | 小白学安全之跨站脚本攻击

作者: 360网络安全大学 | 来源:发表于2018-05-24 21:28 被阅读0次

    神出鬼没的跨站脚本攻击?

    有位哲人曾经说过:

    所有用户输入的内容都不可信

    存在可控输入的地方都可能发生跨站脚本攻击

    跨站脚本攻击,简称XSS

    通常指攻击者通过HTML/JS注入篡改了页面,插入了代码

    先看一些XSS的分类吧!

    XSS按照插入的代码是否会存储在服务器端

    主要分为两大类 :反射型XSS和存储型XSS

    XSS到底能搞啥啊?我怎么没感觉到它的存在呢?

    先看一组数据,在2007年OWASP所统计的所有安全威胁中,跨站脚本攻击占到了22%,高居所有Web威胁之首。

    只要你上网浏览器网页,你就可能会受到XSS攻击,别怪我没提醒你哦!

    反射型XSS需要攻击者构造恶意的脚本代码,发送给受害者

    受害者在点击后才能完成攻击过程,容易被警觉性较高的小白发现

    来一个弹窗的XSS代码

    Egg:

    http://www.360.cn/index.php?id=<script>alert(1)</script

    >

    你以为我傻,这么明显的JS代码在地址栏中,我能点击?

    存储型XSS则会把攻击者的攻击代码保存在服务器端

    在没有查看服务器端源码或检测数据库内容时,难以发现。

    常见的场景,如某论坛存在跨站漏洞,那么攻击者在留言板中插入了代码,访问此页面的小白、大白都会中招,因为隐蔽性非常强。

    看一眼360SRC对存储型跨站的奖励吧


    血淋淋的教训

    我感觉愧对大家,请看图说话!

    没错,你没有看错,的确是360的某论坛

    不是我的安全意识不高,而是我相信的网站存在漏洞,导致我收到了攻击

    那么XSS漏洞到底有何危害?为什么大家谈XSS色变?

    1.  通过窃取用户的cookie,从而达到盗取帐号的目的

    2.  钓鱼欺诈,一般通过构造含有跳转功能的JS代码实现

    3.  网站挂马,利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上

    危害都了解了,还不赶紧和XSS代码混个脸熟,以后看到这些代码,我就知道我可能已经中招了

    <script>alert(123);</script>

    <ScRipT>alert("XSS");</ScRipT>

    <img/src=1 onerror=alert`1`>

    <svg/onload=alert(1)>

    光说不练假把式,你需要体验一下,你需要实操一下

    请把你的JS代码插入到我的服务器中来吧

    http://123.59.120.75/CTF-X55/xsser3.php

    请打开天窗说亮话

    如何防范XSS漏洞呢?

    首先,我告诉你,这是程序员的事情

    但请你不要打死他们,打死了就没人修复XSS漏洞了

    发生了XSS,虽然不怪我们

    但是请记住,你是受害者,你应该有所行动!

    来点小TIPS:

    不点击陌生人发来的URL链接

    登录网站后点击退出按钮

    恭喜你,小白,你已经成为了见框就插的人了……

    记得完成课程中的实验哦,实验答案下期公布,期待吧!

    360网络安全学院

    官       网:http://training.360.cn

    报名热线:4000-555-360

    报名邮箱:sec-training@360.cn

    地       址:北京市朝阳区酒仙桥路360大厦

    相关文章

      网友评论

        本文标题:360网络安全学院 | 小白学安全之跨站脚本攻击

        本文链接:https://www.haomeiwen.com/subject/szrejftx.html