行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
跨站脚本漏洞
2022-03-04 11:00:17 【

一、什么是跨站脚本漏洞?

从用户控制的输入到输出之前,软件没有对其进行过滤或没有正确过滤,这些输出用作向其他用户提供服务的网页。

二、跨站脚本(XSS)漏洞通常在哪些情况下发生?

1、不可信数据进入网络应用程序,通常通过网页请求;

2、网络应用程序动态地生成一个带有不可信数据的网页;

3、在网页生成期间,应用程序不会阻止Web浏览器可执行的内容数据,例如java script、HTML标签、HTML属性、鼠标事件、Flash、ActiveX等;

4、受害者通过浏览器访问的网页包含带有不可信数据的恶意脚本;

5、由于脚本来自于通过web服务器发送的网页,因此受害者的web浏览器会在web服务器域的上下文中执行恶意脚本;

6、违反web浏览器的同源策略,同源策略是一个域中的脚本不能访问或运行其他域中的资源或代码。

三、跨站脚本漏洞的构成条件有哪些?

满足一以下条件,就构成了一个该类型的安全漏洞:

1、数据从不可靠来源(包含但不局限于不可靠用户的输入信息或是不可靠用户可能更改的文件)进入应用程序;

2、该数据未经过滤或不正确地过滤特殊字符后,直接使用。

四、跨站脚本漏洞会造成哪些后果?

关键词:执行未经授权的代码或命令;旁路保护机制;读取应用程序数据

1、盗取各类用户账号。如机器登录账号、用户网银账号、各类管理员账号;

2、控制企业数据。包括读取、篡改、添加、删除企业敏感数据的能力;

3、盗窃企业重要的具有商业价值的资料;

4、非法转账;

5、强制发送电子邮件;

6、网站挂马;

7、控制受害者机器向其它网站发起攻击。

五、跨站脚本漏洞的防范和修补方法有哪些?

1、输入验证:对输入的信息进行验证。仔细检查每个输入参数,以确定允许的特定字符和格式。

2、输出编码:使用并指定下游组件可处理得输出编码格式。常用编码包括ISO-8859-1,UTF-7和UTF-8。

六、跨站脚本漏洞样例:

静态代码检测分析上述程序代码,则可以发现代码中存在着“跨站脚本” 导致的代码缺陷,如下图:

跨站脚本在CWE中被编号为CWE-79: Improper Neutralization of Input DuringWeb Page Generation ('Cross-site Scripting')



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇服务器被DDos攻击就没有有效的处.. 下一篇保护您的应用程序免受堆喷射技术..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800