久久精品水蜜桃av综合天堂,久久精品丝袜高跟鞋,精品国产肉丝袜久久,国产一区二区三区色噜噜,黑人video粗暴亚裔

XSS:修訂間差異

來自站長百科
跳轉至: 導航、? 搜索
?
(未顯示同一用戶的6個中間版本)
第1行: 第1行:
'''XSS'''又叫[[CSS]] (Cross Site Script) ,跨站[[腳本]]攻擊。它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的腳本代碼會被執(zhí)行,從而達到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常忽略其危害性。
'''XSS'''又叫[[CSS]] (Cross Site Script) ,跨站[[腳本]]攻擊。它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的腳本代碼會被執(zhí)行,從而達到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常忽略其危害性。
==XSS的種類==
==XSS的種類==
  XSS攻擊分成兩類,一類是來自內部的攻擊,主要指的是利用[[程序]]自身的[[漏洞]],構造跨站語句,如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來自外部的攻擊,主要指的自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透一個站點,我們自己構造一個有跨站漏洞的網頁,然后構造跨站語句,通過結合其它技術,如社會工程學等,欺騙目標服務器的管理員打開。防范措施是Web應用程序中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定法,那么就存在XSS漏洞。這個利用XSS漏洞的[[病毒]]之所以具有重要意義是因為,通常難以看到XSS漏洞的威脅,而該病毒則將其發(fā)揮得淋漓盡致。
XSS攻擊分成兩類,一類是來自內部的攻擊,主要指的是利用[[程序]]自身的[[漏洞]],構造跨站語句,如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來自外部的攻擊,主要指的自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透一個站點,我們自己構造一個有跨站漏洞的網頁,然后構造跨站語句,通過結合其它技術,如社會工程學等,欺騙目標服務器的管理員打開。防范措施是Web應用程序中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定法,那么就存在XSS漏洞。這個利用XSS漏洞的[[病毒]]之所以具有重要意義是因為,通常難以看到XSS漏洞的威脅,而該病毒則將其發(fā)揮得淋漓盡致。
?
==危害==
==危害==
  跨站腳本(Cross-site scripting,XSS)漏洞是Web應用程序中最常見的漏洞之一。站點沒有預防XSS漏洞的固定方法,那么就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為,通常難以看到XSS漏洞的威脅,而該病毒則將其發(fā)揮得淋漓盡致。XSS漏洞的[[蠕蟲病毒]]的特別之處在于它能夠自我傳播。 如:站點上的一個用戶希望自己能夠在網站的友人列表上更“受歡迎”。但是該用戶不是通過普通的方法來結交新朋友,而是在自己的個人信息中添加了一些[[代碼]],導致其他人在訪問他的頁面時,會不知不覺地利用XSS漏洞將他加為好友。更惡劣的是,它會修改這些人的個人信息,使其他人在訪問這些被感染的個人信息時,也會被感染。 1、各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號 2、制企業(yè)數據,包括讀取、篡改、添加、刪除企業(yè)敏感[[數據]]的能力 3、竊企業(yè)重要的具有商業(yè)價值的資料 4、非法轉賬 5、制發(fā)送[[電子郵件]] 6、[[網站]]掛馬 7、制受害者機器向其它網站發(fā)起攻擊
跨站腳本(Cross-site scripting,XSS)漏洞是Web應用程序中最常見的漏洞之一。站點沒有預防XSS漏洞的固定方法,那么就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為,通常難以看到XSS漏洞的威脅,而該病毒則將其發(fā)揮得淋漓盡致。XSS漏洞的[[蠕蟲病毒]]的特別之處在于它能夠自我傳播。 如:站點上的一個用戶希望自己能夠在網站的友人列表上更“受歡迎”。但是該用戶不是通過普通的方法來結交新朋友,而是在自己的個人信息中添加了一些[[代碼]],導致其他人在訪問他的頁面時,會不知不覺地利用XSS漏洞將他加為好友。更惡劣的是,它會修改這些人的個人信息,使其他人在訪問這些被感染的個人信息時,也會被感染。 1、各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號 2、制企業(yè)數據,包括讀取、篡改、添加、刪除企業(yè)敏感[[數據]]的能力 3、竊企業(yè)重要的具有商業(yè)價值的資料 4、非法轉賬 5、制發(fā)送[[電子郵件]] 6、[[網站]]掛馬 7、制受害者機器向其它網站發(fā)起攻擊
?
==攻擊實例==
==攻擊實例==
攻擊[[Yahoo]] Mail 的Yamanner 蠕蟲是一個著名的XSS 攻擊實例。Yahoo Mail 系統有一個漏洞,當用戶在web 上察看信件時,有可能執(zhí)行到信件內的[[javascript]]代碼。[[病毒]]可以利用這個漏洞使被攻擊用戶運行病毒的script。同時Yahoo Mail 系統使用了Ajax技術,這樣病毒的script 可以很容易的向Yahoo Mail 系統發(fā)起ajax 請求,從而得到用戶的地址簿,并發(fā)送病毒給他人。
攻擊[[Yahoo]] Mail 的Yamanner 蠕蟲是一個著名的XSS 攻擊實例。Yahoo Mail 系統有一個漏洞,當用戶在web 上察看信件時,有可能執(zhí)行到信件內的[[Javascript]]代碼。[[病毒]]可以利用這個漏洞使被攻擊用戶運行病毒的script。同時Yahoo Mail 系統使用了[[Ajax]]技術,這樣病毒的script可以很容易的向Yahoo Mail [[系統]]發(fā)起ajax 請求,從而得到用戶的地址簿,并發(fā)送病毒給他人。


==什么是XSS攻擊==
==什么是XSS攻擊==
第21行: 第23行:
**類型B,反射式漏洞,這種漏洞和類型A有些類似,不同的是Web客戶端使用Server端腳本生成頁面為用戶提供[[數據]]時,如果未經驗證的用戶數據被包含在頁面中而未經HTML實體編碼,客戶端代碼便能夠注入到動態(tài)頁面中。其攻擊過程如下:Alice經常瀏覽某個[[網站]],此網站為Bob所擁有。Bob的站點運行Alice使用用戶名/密碼進行登錄,并存儲敏感信息(比如銀行帳戶信息)。Charly發(fā)現Bob的站點包含反射性的XSS漏洞。Charly編寫一個利用漏洞的URL,并將其冒充為來自Bob的郵件發(fā)送Alice。 Alice在登錄到Bob的站點后,瀏覽Charly提供的URL。嵌入到URL中的惡意腳本在Alice的[[瀏覽器]]中執(zhí)行,就像它直接來自Bob的[[服務器]]一樣。此腳本盜竊敏感信息(授權、信用卡、帳號信息等)然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點。   
**類型B,反射式漏洞,這種漏洞和類型A有些類似,不同的是Web客戶端使用Server端腳本生成頁面為用戶提供[[數據]]時,如果未經驗證的用戶數據被包含在頁面中而未經HTML實體編碼,客戶端代碼便能夠注入到動態(tài)頁面中。其攻擊過程如下:Alice經常瀏覽某個[[網站]],此網站為Bob所擁有。Bob的站點運行Alice使用用戶名/密碼進行登錄,并存儲敏感信息(比如銀行帳戶信息)。Charly發(fā)現Bob的站點包含反射性的XSS漏洞。Charly編寫一個利用漏洞的URL,并將其冒充為來自Bob的郵件發(fā)送Alice。 Alice在登錄到Bob的站點后,瀏覽Charly提供的URL。嵌入到URL中的惡意腳本在Alice的[[瀏覽器]]中執(zhí)行,就像它直接來自Bob的[[服務器]]一樣。此腳本盜竊敏感信息(授權、信用卡、帳號信息等)然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點。   
**類型C,存儲式漏洞,該類型是應用最為廣泛而且有可能影響到Web服務器自身安全的漏洞,駭客將攻擊腳本上傳到Web服務器上,使得所有訪問該頁面的用戶都面臨信息泄漏的可能,其中也包括了Web服務器的管理員。
**類型C,存儲式漏洞,該類型是應用最為廣泛而且有可能影響到Web服務器自身安全的漏洞,駭客將攻擊腳本上傳到Web服務器上,使得所有訪問該頁面的用戶都面臨信息泄漏的可能,其中也包括了Web服務器的管理員。
*'''其攻擊過程如下''':Bob擁有一個Web站點,該站點允許用戶發(fā)布信息/瀏覽已發(fā)布的信息。Charly注意到Bob的站點具有類型C的XXS漏洞。Charly發(fā)布一個熱點信息,吸引其它用戶紛紛閱讀。Bob或者是任何的其他人如Alice瀏覽該信息,其會話cookies或者其它信息將被Charly盜走。類型A直接威脅用戶個體,而類型B和類型C所威脅的對象都是企業(yè)級Web應用,目前天清入侵防御產品所能防范的XSS攻擊包括類型B和類型C。


==XSS受攻擊事件==
==XSS受攻擊事件==
*'''[[新浪]][[微博]]XSS受攻擊事件'''
*'''[[新浪]][[微博]]XSS受攻擊事件'''
[[2011年]][[6月28日]]晚,新浪微博出現了一次比較大的XSS攻擊事件。大量用戶自動發(fā)送諸如:“郭美美事件的一些未注意到的細節(jié)”,“建黨大業(yè)中穿幫的地方”,“讓女人心動的100句詩歌”,“3D肉團團高清普通話版種子”,“這是傳說中的神仙眷侶啊”,“驚爆!范冰冰艷照真流出了”等等微博和私信,并自動關注一位名hellosamy的用戶。
:[[2011年]][[6月28日]]晚,新浪微博出現了一次比較大的XSS攻擊事件。大量用戶自動發(fā)送諸如:“郭美美事件的一些未注意到的細節(jié)”,“建黨大業(yè)中穿幫的地方”,“讓女人心動的100句詩歌”,“3D肉團團高清普通話版種子”,“這是傳說中的神仙眷侶啊”,“驚爆!范冰冰艷照真流出了”等等微博和私信,并自動關注一位名hellosamy的用戶。
*事件的經過線索如下:
*事件的經過線索如下:
**20:14,開始有大量帶V的認證用戶中招轉發(fā)蠕蟲   
**20:14,開始有大量帶V的認證用戶中招轉發(fā)蠕蟲   
第31行: 第32行:
**20:32,新浪微博中hellosamy用戶無法訪問   
**20:32,新浪微博中hellosamy用戶無法訪問   
**21:02,新浪漏洞修補完畢
**21:02,新浪漏洞修補完畢
==相關詞條==
==相關詞條==
*[[計算機]]
*[[計算機]]
第40行: 第42行:
*[[網站]]
*[[網站]]
*[[CSS]]
*[[CSS]]
==參考來源=
==參考來源==
*http://baike.baidu.com/view/50325.htm
*http://zh.wikipedia.org/wiki/XSS
*http://baike.baidu.com/view/2161269.htm
*http://baike.baidu.com/view/2161269.htm
[[category:計算機|X]]
[[category:計算機|X]]
[[category:標記語言|X]]
[[category:標記語言|X]]

2012年4月26日 (四) 16:13的最新版本

XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的腳本代碼會被執(zhí)行,從而達到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常忽略其危害性。

XSS的種類[ ]

XSS攻擊分成兩類,一類是來自內部的攻擊,主要指的是利用程序自身的漏洞,構造跨站語句,如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來自外部的攻擊,主要指的自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透一個站點,我們自己構造一個有跨站漏洞的網頁,然后構造跨站語句,通過結合其它技術,如社會工程學等,欺騙目標服務器的管理員打開。防范措施是Web應用程序中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定法,那么就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為,通常難以看到XSS漏洞的威脅,而該病毒則將其發(fā)揮得淋漓盡致。

危害[ ]

跨站腳本(Cross-site scripting,XSS)漏洞是Web應用程序中最常見的漏洞之一。站點沒有預防XSS漏洞的固定方法,那么就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為,通常難以看到XSS漏洞的威脅,而該病毒則將其發(fā)揮得淋漓盡致。XSS漏洞的蠕蟲病毒的特別之處在于它能夠自我傳播。 如:站點上的一個用戶希望自己能夠在網站的友人列表上更“受歡迎”。但是該用戶不是通過普通的方法來結交新朋友,而是在自己的個人信息中添加了一些代碼,導致其他人在訪問他的頁面時,會不知不覺地利用XSS漏洞將他加為好友。更惡劣的是,它會修改這些人的個人信息,使其他人在訪問這些被感染的個人信息時,也會被感染。 1、各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號 2、制企業(yè)數據,包括讀取、篡改、添加、刪除企業(yè)敏感數據的能力 3、竊企業(yè)重要的具有商業(yè)價值的資料 4、非法轉賬 5、制發(fā)送電子郵件 6、網站掛馬 7、制受害者機器向其它網站發(fā)起攻擊

攻擊實例[ ]

攻擊Yahoo Mail 的Yamanner 蠕蟲是一個著名的XSS 攻擊實例。Yahoo Mail 系統有一個漏洞,當用戶在web 上察看信件時,有可能執(zhí)行到信件內的Javascript代碼。病毒可以利用這個漏洞使被攻擊用戶運行病毒的script。同時Yahoo Mail 系統使用了Ajax技術,這樣病毒的script可以很容易的向Yahoo Mail 系統發(fā)起ajax 請求,從而得到用戶的地址簿,并發(fā)送病毒給他人。

什么是XSS攻擊[ ]

XSS攻擊:跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊而變得廣為人知。對于跨站腳本攻擊,黑客界共識是:跨站腳本攻擊是新型的“緩沖區(qū)溢出攻擊“,而JavaScript是新型的“ShellCode”?! ?

  • XSS攻擊的危害包括:
    • 1、盜取各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號   
    • 2、控制企業(yè)數據,包括讀取、篡改、添加、刪除企業(yè)敏感數據的能力   
    • 3、盜竊企業(yè)重要的具有商業(yè)價值的資料   
    • 4、非法轉賬   
    • 5、強制發(fā)送電子郵件   
    • 6、網站掛馬   
    • 7、控制受害者機器向其它網站發(fā)起攻擊
  • XSS漏洞的分類  
    • 類型A,本地利用漏洞,這種漏洞存在于頁面中客戶端腳本自身。其攻擊過程如下所示:Alice給Bob發(fā)送一個惡意構造了Web的URLBob點擊并查看了這個URL。惡意頁面中的JavaScript打開一個具有漏洞的HTML頁面并將其安裝在Bob電腦上。具有漏洞的HTML頁面包含了在Bob電腦本地域執(zhí)行的JavaScript。Alice的惡意腳本可以在Bob的電腦上執(zhí)行Bob所持有的權限下的命令。   
    • 類型B,反射式漏洞,這種漏洞和類型A有些類似,不同的是Web客戶端使用Server端腳本生成頁面為用戶提供數據時,如果未經驗證的用戶數據被包含在頁面中而未經HTML實體編碼,客戶端代碼便能夠注入到動態(tài)頁面中。其攻擊過程如下:Alice經常瀏覽某個網站,此網站為Bob所擁有。Bob的站點運行Alice使用用戶名/密碼進行登錄,并存儲敏感信息(比如銀行帳戶信息)。Charly發(fā)現Bob的站點包含反射性的XSS漏洞。Charly編寫一個利用漏洞的URL,并將其冒充為來自Bob的郵件發(fā)送Alice。 Alice在登錄到Bob的站點后,瀏覽Charly提供的URL。嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行,就像它直接來自Bob的服務器一樣。此腳本盜竊敏感信息(授權、信用卡、帳號信息等)然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點。   
    • 類型C,存儲式漏洞,該類型是應用最為廣泛而且有可能影響到Web服務器自身安全的漏洞,駭客將攻擊腳本上傳到Web服務器上,使得所有訪問該頁面的用戶都面臨信息泄漏的可能,其中也包括了Web服務器的管理員。

XSS受攻擊事件[ ]

2011年6月28日晚,新浪微博出現了一次比較大的XSS攻擊事件。大量用戶自動發(fā)送諸如:“郭美美事件的一些未注意到的細節(jié)”,“建黨大業(yè)中穿幫的地方”,“讓女人心動的100句詩歌”,“3D肉團團高清普通話版種子”,“這是傳說中的神仙眷侶啊”,“驚爆!范冰冰艷照真流出了”等等微博和私信,并自動關注一位名hellosamy的用戶。
  • 事件的經過線索如下:
    • 20:14,開始有大量帶V的認證用戶中招轉發(fā)蠕蟲   
    • 20:30,某網站中的病毒頁面無法訪問   
    • 20:32,新浪微博中hellosamy用戶無法訪問   
    • 21:02,新浪漏洞修補完畢

相關詞條[ ]

參考來源[ ]