XSS是什么?XSS攻击与防御
日期:2020年09月06日 22:33
访问:562
次
作者:必火安全学院
第十一期开班时间:2021年9月14日
抢先领取全套VIP视频教程
+10天免费学习名额
已有8166人参加>> 稍后老师联系您发送相关视频课程 <<
报名CTF挑战赛, 预约名师指导
已有 2366 人参加
网络安全渗透测试群(必火安全学院):
护网行动日薪千元(初级中级高级)群:
护网行动日薪千元(初级中级高级)群:
XSS是什么?XSS攻击与防御
联系在线客服获取最新网络安全工程师全套视频教程。
联系在线客服获取最新网络安全工程师全套视频教程。
必火安全学院网络安全全栈工程师培训,从网络路由、系统安全、脚本安全、渗透测试、PHP、python、代码审计、工具编写、内网安全等。
必火安全五个月培训,从零开始,从无到有,展示一个小白到大佬的成长经历,无论是否是计算机专业,都是可以学习的。
全天授课-700课时安全课程,课程覆盖量达到同行业的四倍以上,四大80后全职讲师坐镇必火 必火已经有500余名学生从事网络安全岗位工作,学生遍布在360、奇安信、绿盟、天融信、启明星辰等各大安全公司,有些已经成为公司的领导者,创业公司老板。
免费入学实地线下零基础就业班,六期班(2020年.10月30日),包就业!必火为就业而生,为真技术而生!
网络信息安全职业证书认证培训,证书CISP/CISSP/CISW/CISA/CISD...必火独家包过秘籍。
XSS从字面以上上理解,其指的是跨站脚本,是一种常见的网络攻击方式。正如其名称所述,其通过利用Web站点的代码审核漏洞,将带有逻辑性质的能够被服务器执行的脚本代码,通过网页输入端口传输到后端服务器上。
一旦服务器未能有效的截取这段代码,就会导致脚本代码的恶意执行,从而被黑客获取用户信息或做出一些强迫性的网页响应事件。
由于XSS是通过正常的网页带参请求进行脚本嵌入的,所以其攻击方式非常隐蔽,攻击成本较低,同时其危害也较大。正是由于以上特点,加之现有的各类Web网页编写弱点也不一致,黑客可以很灵活的编写不同的注入脚本程序,这为漏洞防御带来了新的困难。
目前主要的XSS漏洞防御策略及发展趋势如下:
1. 特征匹配
这种防御策略主要是通过检测输入数据中的关键字,例如“JavaScript”,一般的网页脚本执行的都是JavaScript代码。但是这种方式比较僵硬,有些正常的含有对应关键字的数据也会被截取。
2. 规范代码标准
这种防御策略主要从web网页编码规范的角度出发,由于不同开发者开发的网页存在部分编码差异,可能存在潜在的漏洞。通过制定一套业内标准,优化web应用,此举能减少相关漏洞的产生。
3. 使用端层防御策略
这种策略主要从浏览器的角度出发,通过收集XSS信息数据库、由用户决定是否执行服务器返回的信息内容等方式进行防范。
