一、漏洞介绍xss攻击全称跨站脚本攻击,是为了不和层叠样式表(CSS)混淆,所以缩写成XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到web网站里面,供给其他用户访问,当用户访问到有恶意代码的网页就会产生xss攻击。二、漏洞危害盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力盗窃企业重要的具有商业价值的资料非法转账强制发送电子邮件网站挂马控制受害者机器向其他网站发起攻击三、漏洞防御xss防御的总体思路是:对于输入(和URL参数)进行过滤,对输出进行编码,也就是对提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行。四、漏洞类型1、反射型反射型的XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码,反射型XSS攻击的方法,攻击者通过发送邮件或诱导等方法,将包含xss恶意链接发送给目标用户,当目标用户访问该链接时,服务器将接收该用户的请求并进行处理,然后服务器把带有xss恶意脚
易水哲
一个什么都会一点的白帽子
京公网安备11010802044340号