XSS攻击,常见的攻击方式之一,使用JS脚步注入目标网页

Posted 苛学加

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS攻击,常见的攻击方式之一,使用JS脚步注入目标网页相关的知识,希望对你有一定的参考价值。

XSS攻击

中文名为跨站及脚本攻击,只要指使用javascript完成恶意的攻击行为。
是常见的攻击方式之一,操作也比较简单。

一、攻击方式

将JavaScript代码注入到网页中,并由浏览器运行该JS代码,以达到恶意攻击的效果。
因为JS可以操作html、css,可以到达把某企业官网内容改为指定内容呈现给用户的效果。

二、易中招

  • 富文本内容,如果使用的富文本插件或相关验证不全面,很容易就中招了。
  • 动态html内容,把普通的输入框内容直接转换为html追加的页面上。
  • 指定图片,把图片地址改为脚本地址也可能执行攻击代码。

三、攻击脚本

比如一个简单的在页面上弹出一个提示:

<scrpit>alert('你是SB')</scrpit>
//使用RrlEncode编码一下
%3Cscrpit%3Ealert(%27%E4%BD%A0%E6%98%AFSB%27)%3C%2Fscrpit%3E

四、如何防护

xss是源于程序自身的漏洞,只有在编码时注意。
比如提交内容的时候需要做特殊字符串及标签的过滤。

以上是关于XSS攻击,常见的攻击方式之一,使用JS脚步注入目标网页的主要内容,如果未能解决你的问题,请参考以下文章

XXS和SQL注入的预防

XSS攻击原理与解决方法

XSS攻击原理及防御措施

浅谈xss攻击原理与解决方法

浏览器常见攻击方式(XSS和CSRF)

XSS跨站脚本攻击实验