AV网址AAA,桃花色综合影院,欧美成人精品手机在线,国产又爽又大又黄a片色戒一

    歡迎來(lái)到云網(wǎng)時(shí)代數(shù)據(jù)中心! 業(yè)務(wù)咨詢(xún)熱線(xiàn):0755-88868179增值電信業(yè)務(wù)經(jīng)營(yíng)許可證:B1-20170628
行業(yè)新聞
當(dāng)前位置:首頁(yè)>文章中心>行業(yè)新聞

網(wǎng)站服務(wù)器托管對(duì)于XSS攻擊該怎樣進(jìn)行防范

發(fā)布時(shí)間:2019-08-23 點(diǎn)擊數(shù):312

大家都知道服務(wù)器不管是對(duì)于網(wǎng)站還是應(yīng)用都是非常重要的,這也成為了黑客喜歡攻擊的目標(biāo)之一,而攻擊類(lèi)型也是多種多樣的,今天小編要給大家說(shuō)的是XSS攻擊,網(wǎng)站服務(wù)器托管對(duì)于XSS攻擊該怎樣進(jìn)行防范?

服務(wù)器托管XSS攻擊防范方法

XSS攻擊

全稱(chēng)跨站腳本攻擊(Cross Site Scripting),為了不跟層疊樣式表(CSS)重名,所以叫XSS;

危害

攻擊者在網(wǎng)站中嵌入惡意腳本(代碼),當(dāng)用戶(hù)打開(kāi)該網(wǎng)頁(yè)時(shí),腳本自動(dòng)執(zhí)行,它可以:
盜取用戶(hù)cookie、用戶(hù)名密碼
下載病毒木馬
強(qiáng)行跳轉(zhuǎn)頁(yè)面
其他可怕的事。

原理

假設(shè)頁(yè)面上有個(gè)需要用戶(hù)填寫(xiě)的表單,表單填好后的結(jié)果是:
<input type="text" name="nick" value="xiaomao">
nick就是用戶(hù)輸入的用戶(hù)名,這是正常情況,但是當(dāng)輸入的是:
"/><script>alert("haha")</script><!-
這個(gè)時(shí)候,這一串就會(huì)被當(dāng)做用戶(hù)名提交到服務(wù)器,一般服務(wù)器會(huì)限制用戶(hù)名長(zhǎng)度或者字符類(lèi)型,此時(shí)就會(huì)驗(yàn)證不通過(guò)。好了,這時(shí)服務(wù)器會(huì)讓頁(yè)面重定向到登錄頁(yè)面并帶上剛才輸入的用戶(hù)名,因?yàn)檩斎肟騣nput的后面帶上了一段腳本,所以瀏覽器會(huì)執(zhí)行,這里的效果是會(huì)彈出一個(gè)提示框”haha“,并沒(méi)有什么危害,危害程度完全取決與用戶(hù)輸入了什么。

1. 如何盜取用戶(hù)cookie、用戶(hù)名密碼?

比如在一篇博客下,攻擊者在評(píng)論區(qū)輸入一段惡意的代碼“評(píng)論”,代碼的內(nèi)容是包含CookieHelper.getCookie(xxx')這樣的內(nèi)容,那么別的用戶(hù)訪(fǎng)問(wèn)這篇博客時(shí),就會(huì)加載“評(píng)論”==執(zhí)行惡意代碼,攻擊者可以在“評(píng)論”中通過(guò)jsonp跨域方式將cookie信息發(fā)送到自己的服務(wù)器進(jìn)而獲取其他用戶(hù)的cookie信息,有些網(wǎng)站會(huì)將用戶(hù)名密碼直接保存cookie中,這樣就泄露了賬戶(hù)信息,即使信息不是明文保存的,攻擊者拿到其他用戶(hù)cookie后也可以執(zhí)行其他惡意操作,比如修改個(gè)人資料,攻擊者可以在一個(gè)http請(qǐng)求中帶上拿到的cookie,請(qǐng)求博客的修改個(gè)人資料的接口,是可以成功的。這樣就對(duì)用戶(hù)、網(wǎng)站造成了比較大的危害。

2. 如何下載病毒木馬?

既然用戶(hù)可以在網(wǎng)站上注入腳本,那么他就可以修改腳本內(nèi)容,在腳本中去下載一個(gè)指定的病毒木馬。通過(guò)類(lèi)似原理,實(shí)現(xiàn)強(qiáng)制廣告彈出,訪(fǎng)問(wèn)某網(wǎng)站等等都不是問(wèn)題。

3. 如何強(qiáng)行跳轉(zhuǎn)頁(yè)面?

當(dāng)注入js為“<script>window.location.href="www.bug.com"</script>”時(shí),瀏覽器在訪(fǎng)問(wèn)當(dāng)前頁(yè)面時(shí)會(huì)強(qiáng)行跳轉(zhuǎn)到www.bug.com這個(gè)站點(diǎn),這個(gè)也叫做網(wǎng)站劫持。

防范

XSS攻擊的起源都是來(lái)自頁(yè)面的輸入,因此我們只需
1. 在前端進(jìn)行用戶(hù)輸入內(nèi)容過(guò)濾,如電話(huà)號(hào)碼,用戶(hù)名可直接限制只能輸入對(duì)應(yīng)字符。
2. 將用戶(hù)輸入的內(nèi)容進(jìn)行HTML轉(zhuǎn)義存儲(chǔ),如尖括號(hào),斜杠,單/雙引號(hào)。

3. 對(duì)于cookie劫持,我們可以為關(guān)鍵的cookie字段設(shè)置http-only,然后就無(wú)法通過(guò)document對(duì)象獲取cookie,但不影響其加載網(wǎng)頁(yè)。

這樣我們就能很好的保護(hù)好我們的服務(wù)器了,希望以上云網(wǎng)時(shí)代小編的分享能對(duì)大家有所幫助,云網(wǎng)時(shí)代專(zhuān)業(yè)提供深圳服務(wù)器租用,深圳服務(wù)器托管,深圳主機(jī)租用,云服務(wù)器租用等服務(wù),歡迎咨詢(xún)客服了解詳情。

在線(xiàn)客服