以前看过分析家写过一篇文章,介绍跨站脚本的安全隐患,当时只是知道有这样的
问题,也没有仔细阅读,目前此类问题经常在一些安全站点发布,偶刚好看到这样一篇文章
,
抱着知道总比不知道好的想法,翻译整理了一下,原文在偶主页的collection目录里,错误
之处请
多多指点。
OK,go............ 什么是跨站脚本(CSS/XSS)? 我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该
页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,
有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,这很容易让人困惑,
如果
你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。
XSS和脚本注射的区别? 原文里作者是和他一个朋友(b0iler)讨论后,才明白并非任何可利用脚本插入实现攻击的
漏洞都被称为XSS,还有另一种攻击方式:"Script Injection",他们的区别在以下两点:
1.(Script Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如
:sql injection,XPath injection.
2.跨站脚本是临时的,执行后就消失了
什么类型的脚本可以 *** 入远程页面? 主流脚本包括以下几种:
HTML
JavaScript (本文讨论)
VBScript
ActiveX
Flash
是什么原因导致一个站点存在XSS的安全漏洞? 许多cgi/php脚本执行时,如果它发现客户提交的请求页面并不存在或其他类型的错误时,
出错信息会被打印到一个html文件,并将该错误页面发送给访问者。
例如: 404 - yourfile.html Not Found! 我们一般对这样的信息不会注意,但是现在要研究CSS漏洞的成因,我们还是仔细看一下。
例:www.somesite.tld/cgi-bin/program.cgi?page=downloads.html
该URL指向的连接是有效的,但是如果我们把后面的downloads.html替换成brainrawt_owns_
me.html
,一个包含404 - brainrawt_owns_me.html Not Found! 信息的页面将反馈给访问者的浏览
器。
考虑一下它是如何把我们的输入写到html文件里的? OK,现在是我们检查XSS漏洞的时候了! 注意:下面仅仅是一个例子,该页面存在XSS漏洞,我们可以插入一写javascript代码到页面
里。当然 *** 很多
www.somesite.tld/cgi-bin/program.cgi?page= Not Found!
什么叫飞行模式(飞行模式到底是什么意思) 我们在坐飞机的时候经常会听到这样的对话: “飞向XX的飞机即将起飞,请关闭所有电子设备。这位乘客,请您配合一下。” “不对啊乘务员,我的手机可是有飞...
我所经历的山寨公司的培训有三个公司,一个听广告、一个换名片、一个花钱进行扯淡,自那以后先不说老板不愿意花钱培训微信了,就连我自己都没有培训微信的信心了。今天看到腾讯大学推出的微信培训既喜悦又散失信心,...
对于上班族而言,工资分为税前和税后。虽然有人说他月薪过万,但是实际上他们到手的工资可能没有这么多,除了要交五险一金,他们还要扣除个税。为啥富人能够越来越有钱,而穷人一直难以翻身? 关于避税问题就是其...
本文以抖音电商为主,从产物定位和逻辑层面举办阐明,并与淘宝直播成果和运营计策两个方面举办多角度的综合较量,但愿可以或许跟各人表明清楚淘宝和抖音直播电商的黑白势,以及将来的机会和威胁,看如何规避风险。...
本文导读目录: 1、我想做一款网路游戏 我知道 可以加入游戏制作的团队中~ 但是我什么的不会 我想学 2、如何做迷你世界的黑客? 3、黑客游戏 4、那些黑客,和做网络游戏的人是学什么出来的...
本文导读目录: 1、哪位大神有《黑客》电子版书籍百度云盘下载 2、求黑客(青幕山)小说下载链接 3、《黑客》txt全集下载 4、想看黑客2019年上映的由Mille Dinesen主演的免...