IT技(ji)術互動交(jiao)流平(ping)台

1分快三官网

作者︰whl  發布日(ri)期︰2020-02-20 15:04:00
  在很(hen)早之(zhi)前很(hen)多黑(hei)客就開(kai)始ji)窘jie)XSS漏洞來進行入侵了,而且這些攻擊主要(yao)是面向使用應用的用戶而不是對應的應用或者是服務器(qi)。這些攻擊主要(yao)是通過注(zhu)入代碼來實現web應用的輸出。很(hen)多人(ren)對于XSS和(he)XSSI總是分不清(qing),經常把他們搞混(hun),下面小編就給大家詳細介紹一下他們的不同之(zhi)處(chu),希望對大家有(you)所幫助。
XSS與XSSI異同

  大部分網站有(you)很(hen)多注(zhu)入點,包括(kuo)搜索域、cookies和(he)表格。雖然這些惡意腳本不能(neng)直接感(gan)染服務器(qi)端信(xin)息,它們仍然可以破壞網站的安全性。通過使用Document Object Model操作來更改表格值,改變網頁(ye)的外觀或切換表格操作以張貼提交(jiao)的數據到攻擊者的網站,攻擊者可以竊(qie)取數據、控制用戶的會(hui)話、運行惡意代碼或用作網絡釣魚(yu)欺詐的一部分。

  XSSI是XSS的一種形(xing)式,它利(li)用了這樣一個(ge)事(shi)實,即瀏(liu)覽器(qi)不會(hui)阻止(zhi)網頁(ye)加載圖(tu)像和(he)文(wen)字等資源,這些資源通常托管在其(qi)他域和(he)服務器(qi)。例如,腳本可能(neng)提供(gong)攻擊者需要(yao)的功能(neng),幫助創建特定的頁(ye)面—很(hen)多網站包含托管在JavaScript庫jQuery。然而,這種包含可能(neng)被(bei)利(li)用來從(cong)一個(ge)域名讀(du)取用戶數據—當用戶正在訪(fang)問另一個(ge)域名時。例如,如果ABC銀行有(you)一個(ge)腳本用于讀(du)取用戶的私(si)人(ren)賬戶信(xin)息,攻擊者可以在其(qi)自己(ji)的惡意網站包含這個(ge)腳本,當ABC銀行的客戶訪(fang)問攻擊者的網站時,攻擊者就可以從(cong)ABC銀行的服務器(qi)提取用戶信(xin)息。

  開(kai)發者可以部署多種措施來抵御XSSI攻擊。其(qi)中一種方法(fa)是向用戶提供(gong)獨(du)特的不可預(yu)測(ce)的授權令(ling)牌,在服務器(qi)響(xiang)應任何請求(qiu)之(zhi)前,需要(yao)發送回該令(ling)牌作為額外的HTTP參數。腳本應該只能(neng)響(xiang)應POST請求(qiu),這可以防止(zhi)授權令(ling)牌作為GET請求(qiu)中的URL參數被(bei)暴露,同時,這可以防止(zhi)腳本通過腳本標簽被(bei)加載。瀏(liu)覽器(qi)可能(neng)會(hui)重新發出GET請求(qiu),這可能(neng)會(hui)導(dao)致一個(ge)操作會(hui)執行一次以上,而重新發出的POST請求(qiu)需要(yao)用戶的同意。

  在處(chu)理JSON請求(qiu)時,在響(xiang)應中增加非可執行前綴,例如“\n”,以確保腳本不可執行。在相同域名運行的腳本可以讀(du)取響(xiang)應內容(rong)以及(ji)ba)境chu)前綴,但在其(qi)他域名運行的腳本則不能(neng)。此(ci)外,開(kai)發者還應該避(bi)免使用JSONP(具(ju)有(you)填充(chong)功能(neng)的JSON)來從(cong)不同域名加載機密(mi)數據,因為這會(hui)允許釣魚(yu)網站收(shou)集數據。同時,發送響(xiang)應表頭“X-Content-Type-Options: nosniff”也將(jiang)幫助保護IE和(he)谷(gu)歌Chrome用戶免受XSSI攻擊。

  為了應對XSS攻擊,可在HTTP Content-Type響(xiang)應表頭或者HTML代碼中meta標簽中http-equiv屬性中指定CHARSET,讓瀏(liu)覽器(qi)不會(hui)解(jie)譯其(qi)他字符集的特殊字符編碼。對于使用ASP.NET開(kai)發網站的開(kai)發者,微(wei)軟Anti-Cross Site Scripting Library可以幫助保護Web應用抵御跨站腳本漏洞。

  現在有(you)很(hen)多開(kai)源漏洞掃描工具(ju)可供(gong)開(kai)發者使用,以測(ce)試其(qi)代碼是否(fu)容(rong)易遭受XSS攻擊,例如Vega、Wapiti、OWASP的Zed Attack Proxy和(he)Skipfish。企(qi)業(ye)應該定期對網站進行掃描,同時,在底層代碼變更或依靠第三方庫的功能(neng)集成到各種網頁(ye)時,也應該掃描網站。

  上面給大家列(lie)出的不同之(zhi)處(chu)還是非常詳細的,大家可以仔細研究一下。看到這里,相信(xin)大家對于XSS和(he)XSSI的不同之(zhi)處(chu)應該心中有(you)數不會(hui)再搞混(hun)了吧(ba)?如果大家對于XSS和(he)XSSI還想了si)飧嗷隊 榭幢菊酒qi)他相關文(wen)件(jian)。

1分快三官网

    • 1分快三官网

    About IT165 - 廣告服務 - 隱私(si)聲明 - 版(ban)權申(shen)明 - 免責(ze)條款 - 购彩APP下载官网網站地(di)圖(tu) - 網友投(tou)稿 - 聯系方式
    本站內容(rong)來自于互聯網,僅供(gong)用于網絡技(ji)術學習,學習中請遵循相關法(fa)律法(fa)規
    1分快三官网 | 下一页