Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1942055
  • 博文数量: 2504
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 25169
  • 用 户 组: 普通用户
  • 注册时间: 2020-11-26 14:30
个人简介

更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号

文章分类

全部博文(2504)

文章存档

2024年(349)

2023年(643)

2022年(693)

2021年(734)

2020年(80)

我的朋友

分类: 网络与安全

2024-04-17 13:48:27

  渗透测试,是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估,是为了证明网络防御按照预期计划正常运行而提供的一种机制。而在学习渗透测试过程中,我们会遇到各种各样的漏洞,比如:文件包含漏洞、SQL注入漏洞、文件上传漏洞、跨站脚本攻击漏洞等,接下来这篇文章主要讲解一下渗透测试跨站脚本攻击,快来看看吧。

  跨站脚本攻击,俗称XSS,通常指利用网站漏洞从用户处获取隐私信息。跨站脚本攻击缩写为CSS,但由于层叠样式表的缩写重复,为了避免混淆,现在大部分地区都称为XSS。

  XSS漏洞类型可以分为三类,按其危害程度排序由高到低分别为:存储型XSS、反射型XSS、DOM型XSS。

  存储型XSS:也称其为持久型跨站,是{BANNED}最佳为直接的危害类型,其跨站代码存储于数据库中,常见于数据交互界面,如注册界面等。

  反射型XSS:此类型也称为非持久型跨站,同时也是{BANNED}最佳为普遍的类型,用户访问服务器后,通过跨站连接返回跨站代码,一般是一次性使用,即用即得,常见于信息查询等可以获取大量信息的界面。

  DOM型XSS:DOM意为文档对象模型,是客户端脚本逻辑有误导致的安全问题,类似于反射型XSS为一次性使用,漏洞一般直接存在于前端代码,不与后台服务器交互。

  XSS漏洞防护技巧

  1、不随意插入不可信数据

  2、在向HTML中插入数据前,对HTML进行解码

  3、在向HTML常见属性插入数据前,进行属性解码

  4、在向HTML URL插入数据前,进行URL解码

  5、加大验证力度,验证格式,范围以及内容

阅读(220) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~