什么是跨站脚本

By 克里斯汀·玛格丽特 没有评论 5分钟

跨站点脚本,也称为 XXS,是一种恶意攻击,它故意将恶意脚本注入用户的 Web 浏览器。 攻击者在 Web 应用程序或网页中执行恶意代码,并在用户访问 Web 应用程序或网页时立即执行; 恶意脚本会自动传输到用户的浏览器。

跨站点脚本

通过这种方式,攻击者可以控制用户的浏览器或他在特定网站上的帐户。 这意味着这种攻击不会损害 Web 应用程序本身,但会影响该应用程序的用户。

此外,恶意脚本通常以 JavaScript 代码的形式传输。 然而,恶意代码也可以利用其他语言的用户浏览器,包括 HTML、Ajax、Flash 和 Java。

积极 FastestVPN

解释摘要

以下是跨站脚本解释的简要总结:

  • XXS 是一种针对易受攻击的网页或 Web 应用程序的基于 Web 的攻击
  • 它损害了 Web 应用程序的用户,而不是应用程序本身
  • XXS通过JavaScript向用户传输恶意程序。

跨站点脚本 (XXS) 攻击如何运作?

跨站点脚本攻击的发生方式是,它首先使用恶意脚本操纵易受攻击的 Web 应用程序,然后该 Web 应用程序将恶意 JavaScript 传送到用户的浏览器。

一旦恶意脚本进入用户浏览器,攻击者就可以轻松控制用户浏览器。

跨站点脚本的目的

攻击者进行 XXS 攻击的原因如下:

  • 破解帐户
  • 使用互联网在系统上传播恶意软件和病毒
  • 访问用户的剪贴板内容和浏览器历史记录
  • 远程运行用户的浏览器
  • 利用和访问 Intranet 应用程序

跨站点脚本示例

一些最容易注入 XXS 的来源是允许用户发帖的自托管公告板论坛和网站。

现在,我们在下面分享一个跨站点脚本的简单示例:

这是一个 JSP 代码,您可以在其中看到发出了一个 HTTP 请求,代码读取了员工 ID eid,并将其显示给用户。

仅当代码 (eid) 包含标准字母数字文本时,此示例中的代码才能正常工作。

但是,如果相同的代码 (eid) 使用任何元字符或源代码值,则意味着代码将被 Web 浏览器强制显示给用户作为 HTTP 响应。

最初,它似乎不是一个主要漏洞,因为没有人会输入恶意 URL。 然而,当攻击者创建恶意链接并诱骗用户访问隐藏在 URL 中的链接时,中断就开始了。

通常,攻击者通过社会工程学和电子邮件来欺骗用户,吸引用户访问恶意链接。

一旦用户单击恶意链接,他就会无意中将 Web 应用程序的恶意内容发送回他自己的系统。

将恶意内容反射回来的过程称为反射XXS。 XXS 攻击造成严重的破坏,通常会导致篡改和严重的数据盗窃。

跨站点脚本的类型

  1. 存储型/持久型 XSS

存储/持久 XSS 攻击是最具破坏性的 XSS 攻击形式,在这种攻击中,攻击者在 Web 应用程序上传输永久脚本。 当在服务器上发出任何请求时,用户都会成为恶意脚本的受害者。

  1. 反映 XXS

这种类型的跨站点脚本不涉及直接攻击服务器。 它使用电子邮件诱骗用户在浏览器中执行恶意脚本。 浏览器认为它是一个受信任的脚本,因此所有恶意内容都会在用户的浏览器中反射回来。

  1. 基于 DOM 的攻击

基于 DOM 的攻击不太常见,不同之处在于它们从不破坏服务器端代码,它只依赖于客户端脚本。

DOM 是指文档对象模型,它是 HTML 和 XML 文档的应用程序编程接口 (API)。 只有当 Web 应用程序将用户数据显示到文档对象模型中时,才会发生基于 DOM 的攻击。

Web 应用程序读取用户的数据并将其传输到浏览器中。 如果用户数据不安全,那么攻击者可以轻松地将恶意脚本存储在 DOM 中。

如何确定您网站的漏洞

您可以通过 Nessus、Nikto、Vega、Grab、WebScarab 等 Web 漏洞扫描程序轻松检查您的网站漏洞。

仔细地对代码进行安全审查并找出所有可能允许 HTTP 请求的输入访问 HTML 输出的安全漏洞非常重要。

请记住,可以使用多种 HTML 标记来执行恶意 JavaScript。 因此,通过网络安全扫描仪扫描网站非常重要。

以防万一,如果网站的任何部分容易受到攻击,则整个网站都有可能成为损坏的受害者。

如何防止跨站脚本攻击

  1. 转义用户输入

转义用户输入是防止 XXS 攻击的一种方法。 在这种方法中,您必须确保您的 Web 应用程序将要发送回用户 Web 浏览器的数据是安全的。

WordPress 和 PHP 包含自动清理您输出的数据的功能。

  1. 输入验证

输入验证是在将 Web 应用程序提供的任何数据发送回用户浏览器之前对其进行彻底检查和验证的过程。

Web 应用程序必须在进入其他系统之前检查和验证数据。 它有助于检测任何旨在攻击用户系统的恶意链接或程序。

结论

XXS 攻击很常见,可以破坏用户的隐私,但是,它很容易测试并防止您的 Web 应用程序受到恶意脚本的攻击。

Web 应用程序必须在将输入直接发送到用户的浏览器之前不断地清理它们的输入。 此外,定期的 Web 扫描将帮助 Web 应用程序发现是否存在任何漏洞。

今天就控制您的隐私! 解锁网站、访问流媒体平台并绕过 ISP 监控。

积极 FastestVPN
订阅电子报
接收本周的热门帖子和最新公告 FastestVPN 通过我们的电子邮件通讯。
图标
0 0
文章评分

您可以 也喜欢

如何从 Facebook 和 Google 请求您的数据 如何从 Facebook 和 Google 请求您的数据
在家工作时保持保护的提示 在家工作时保持保护的提示
如何阻止垃圾邮件 如何阻止垃圾邮件
订阅
通知
客人
0 评论
内联反馈
查看所有评论