深圳網(wǎng)站設(shè)計(jì)公司談XSS漏洞的幾種類型

XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。XSS漏洞表現(xiàn)為各種形式，并且可分為3類型。XSS漏洞是Web應(yīng)用程序中最常見的漏洞之一。如果您的站點(diǎn)沒(méi)有預(yù)防XSS漏洞的固定方法，那么就存在XSS漏洞。這個(gè)利用XSS漏洞的病毒之所以具有重要意義是因?yàn)?，通常難以看到XSS漏洞的威脅，而該病毒則將其發(fā)揮得淋漓盡致。雖然這些3種漏洞類型具有一些的特點(diǎn)，但在如果確定及利用這些漏洞方面，仍然存在一些重要的差異，下面眉山網(wǎng)頁(yè)設(shè)計(jì)——創(chuàng)新互聯(lián)將分別介紹每一類XSS的漏洞。
1.保存型XSS漏洞
如果一名用戶提交的數(shù)據(jù)被保存在應(yīng)用程序中（通常保存在一個(gè)后端數(shù)據(jù)庫(kù)中），然后不經(jīng)適當(dāng)?shù)剡^(guò)濾或凈化就顯示給其他用戶，這時(shí)就會(huì)出現(xiàn)這種保存型的XSS漏洞。
2.反射型XSS漏洞
如果一個(gè)應(yīng)用應(yīng)用程序使用動(dòng)態(tài)頁(yè)面向用戶顯示錯(cuò)誤的消息，就會(huì)造成一種常見的XSS漏洞。通常，使用該頁(yè)面的機(jī)制非常方便，因?yàn)樗试S它們從應(yīng)用程序中調(diào)用一個(gè)定制的錯(cuò)誤頁(yè)面，而不需對(duì)錯(cuò)的頁(yè)面進(jìn)行硬編碼。使用該頁(yè)面會(huì)使用一個(gè)包含消息文本的參數(shù)，并在響應(yīng)中將這個(gè)文本返回給用戶。
3.基于DOM的XSS漏洞
第三類的XSS漏洞并不具有與保存型和反射型一樣的特殊性的行為模式，前兩種類型都是提取用戶控制的數(shù)據(jù)并以危險(xiǎn)的方式將這些數(shù)據(jù)返回給用戶。在第三種的漏洞中，攻擊者的JavaScript是通過(guò)以下過(guò)程得以執(zhí)行的。
①用戶請(qǐng)求一個(gè)經(jīng)過(guò)專門設(shè)計(jì)的URL，它有攻擊者提交，并且其中包含嵌入式JavaScript
②服務(wù)器的響應(yīng)中并不以任何形式包含的攻擊者的腳本
③當(dāng)用戶的瀏覽器處理這個(gè)響應(yīng)時(shí)，上述腳本得以處理

當(dāng)前文章：深圳網(wǎng)站設(shè)計(jì)公司談XSS漏洞的幾種類型
網(wǎng)站網(wǎng)址：http://www.muchs.cn/news14/160114.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供面包屑導(dǎo)航、外貿(mào)網(wǎng)站建設(shè)、搜索引擎優(yōu)化、軟件開發(fā)、域名注冊(cè)、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)