不好！有敌情，遭到XSS攻击【网络安全篇】

XSS&＃xff1a;当一个目标的站点&＃xff0c;被我们用户去访问&＃xff0c;在渲染HTMl的过程中&＃xff0c;出现了没有预期到的脚本指令&＃xff0c;然后就会执行攻击者用各种方法注入并执行的恶意脚本&＃xff0c;这个时候就会产生XSS。

涉及方&＃xff1a;

• 用户&＃xff08;通过浏览器去访问网页&＃xff09;
• 攻击者&＃xff08;通过各种办法让用户访问页面执行恶意脚本&＃xff0c;盗取信息&＃xff09;
• Web服务器&＃xff08;存储并返回恶意脚本&＃xff09;

XSS的危害

挂马

网页挂马是指在一个程序中利用木马生成器生成一个网码&＃xff0c;加上一些代码&＃xff0c;可以让木马程序再打开网页的时候就立即执行。

盗取用户的COOKIE

盗取了用户的关键信息后&＃xff0c;就可以模拟去做一些事情&＃xff1a;包含但不局限于转账请求、恶意信息发送请求、未知文件下载请求、删除目标文章、恶意篡改数据、嫁祸。

蠕虫病毒

• 爆发 Web2.0 蠕虫病毒
• 蠕虫式的DDoS攻击
• 蠕虫式挂马攻击、刷广告、刷流量、破坏网上数据
  

其它

• DDoS&＃xff08;拒绝服务&＃xff09;客户端浏览器。
• 钓鱼攻击&＃xff0c;高级的钓鱼技巧。
• 劫持用户 Web 行为&＃xff0c;甚至进一步渗透内网。

XSS种类

反射型

指发出一个请求的时候&＃xff0c;XSS的恶意代码出现在我们的访问链接之中&＃xff0c;它作为一部分的数据提交到我们的服务器&＃xff0c;服务器解析之后进行响应&＃xff0c;代码就会随着响应传回到浏览器中。

比如我们在输入框中输入字符&＃xff0c;并且检索&＃xff0c;网页也会把结果返回到页面上&＃xff1a;

URL里面有什么请求字符&＃xff0c;就把请求字符反射到前端页面上&＃xff1a;

如果我们把值替换成&＃xff0c;标签替换&＃xff0c;只留中间

最后

XSS存在的最根本原因是我们对url中的参数或者用户需要输入的地方没有做一个充分的过滤&＃xff0c;所以就会有一些不合法的参数或者输入内容能够到我们的 Web服务器 &＃xff0c;最后用户访问前端页面的时候&＃xff0c;就可能将这段代码拉过来又执行了一遍&＃xff0c;对我们程序或者我们程序猿本身而言&＃xff0c;XSS的防范至关重要。

XSS网络攻击 - 原理&＃xff0c;类型和实践
XSS 原理和攻防 - Web 安全常识

水平有限&＃xff0c;还不能写到尽善尽美&＃xff0c;希望大家多多交流&＃xff0c;跟春野一同进步&＃xff01;&＃xff01;&＃xff01;