欢迎浏览sook云!

网站地图

当前位置:主页 > 云主机 > 游戏主机 >

游戏服务器_数据库组成_企业0元试用

时间:2022-05-12 22:50

人气:

作者:sook云

标签: 企业  数据库  0元  游戏  组成  服务器  试用 

导读:XSS—跨站点脚本在IT安全领域已不再是新鲜事,事实上它是最流行和常见的漏洞之一。网络上有许多博客、清洁表、安全提示/技巧、建议和其他可用资源。这个博客是我最近几个月与...

游戏服务器_数据库组成_企业0元试用

XSS—跨站点脚本在IT安全领域已不再是新鲜事,事实上它是最流行和常见的漏洞之一。网络上有许多博客、清洁表、安全提示/技巧、建议和其他可用资源。这个博客是我最近几个月与我的同事和朋友Ashar Javed博士(一位著名的安全研究员,Black Hat、DeepSec、OWASP….的发言人)共同学习的一部分…。XSSer。。道德黑客)。坦率地说,我不是所有的安全背景(SAP顾问/开发人员),但我的学习使我现在对安全有了更多的认识,我也可以说,我也对安全负责。让我们开始….

我相信我们听到了XSS的定义,至少在这个SCN空间,我们在网上看到了一些常见的定义:

根据维基百科"XSS允许攻击者将客户端脚本注入到其他用户查看的网页中"。

根据OWASP(自由开放软件安全社区)"跨站点脚本攻击是一种注入问题,其中恶意脚本被注入到原本良性可信的网站中。"

还有很多,其中一个是候选定义,对我来说是开发人员的定义:"当一个来自不受信任的源的脚本在呈现一个页面时被执行时,就会发生XSS攻击"当我们遵循这个定义时,这些问题就会浮现在我们的脑海中,并且是非常有效的。

呈现还涉及到在有输入时特别与服务器通信客户端选项。

那么什么是XSS,或者更确切地说,攻击者可以用XSS做什么?让我给你看一个基本的图表,可能对你来说太"基本"了,物联网是什么意思,但这是事实。

XSS只不过是一个可以影响web应用程序的安全缺陷。它允许攻击者将自己的恶意代码(通过JavaScript、VBScript、Flash、HTML、JSON、ActiveX等)添加到显示给用户的HTML页面上。一旦被受害者的浏览器执行,这些代码就可以执行一些操作,比如完全改变应用程序的行为或外观,窃取私人数据,代表用户执行命令/恶意脚本或执行操作。

例如,攻击者窃取管理员的会话cookie并以管理员身份登录,可以改变一切。其他典型的可能性是端口扫描、网络钓鱼、密钥记录等,当它被保存到数据库(如图所示)时,财务大数据,它变得更加危险,也被称为存储XSS或持久XSS,它需要服务器端解释查询和数据存储。

但为什么是XSS?还有其他漏洞。Le's see some facts

根据最新的白帽安全报告,47%的web应用程序存在XSS漏洞:

根据谷歌漏洞奖励计划的统计,XSS是报告最多的问题:

根据"开源漏洞数据库"XSS是在#1:

相信我有很多这样的事实XSS是目前最流行的一种状态。

现在很清楚的是,XSS漏洞最常发生在用户输入未经正确转义或验证就被并入web服务器响应(即HTML页面)时。我想我们都有兴趣知道的是如何修复他们或阻止攻击者。在我们得出任何结论之前,让我们先看看理解XSS

注入点的一些重要方面:这些是web应用程序中可用的用户输入,微信淘客,攻击者可以通过这些输入或注入脚本

上下文是用户提供的输入或来自其他应用程序的输入最终结束或启动的环境生活。

"上下文是IT安全所有领域的王者",云实,简单地说,这意味着攻击者使用这些注入点来发送他们的脚本,他们在web应用程序中输入的任何内容最终都会被称为上下文。实际上,所有的攻击和绕过都是基于这些上下文的。所以让我们先简单了解一下上下文:

(所有的例子都是基于PHP和标准HTML的)

HTML上下文:

在这个上下文中,用户的输入最终或将在HTML中反映出来标记到理解它让我们看一个例子。

假设我们在下面的网页中搜索一个字符串"xyz"http://www.ea.com/search?q="xyz

从结果的源代码中我们可以看到,在这里,用户输入(搜索的字符串)被反射回标记和标记,或者更可能是在HTML标记

属性上下文中:

在此上下文中,用户输入结束或将作为属性的一部分反射回来值。到明白吗让我们看一个例子。

这里我们在网上搜索一个字符串"垃圾"http://www.ea.com/search?q="垃圾,当我们看到源代码时,我们发现输入反映在锚定标签的"title"或"href"等属性值中:

脚本上下文:

在这种上下文中,用户输入最终或将作为脚本变量的一部分反映回来标记到明白了让我们看看例如

这里我们在网上搜索字符串"xxxxxxxxx"http://search.health.com/results.html?Ntt=xxxxxxxxxx,当我们看到源代码时,我们发现作为变量声明searchString和searchTerms的一部分反射回来的输入在两个示例引号中是不同的,可以是单引号或双引号。

URL上下文:

在此上下文中,用户输入结束或将作为锚定标记的href值反映回来。甚至可以是iframe标记和source属性。所有的内容管理系统都支持url上下文。

现在,在wysiwyg编辑器中,插入一个链接并以这种方式用户直接提供url是一个常见的特性"所见即所得"。

样式上下文:

温馨提示:以上内容整理于网络,仅供参考,如果对您有帮助,留下您的阅读感言吧!
相关阅读
本类排行
相关标签
本类推荐

关于我们 | 版权声明 | 广告服务 | 友情链接 | 联系我们 | 网站地图

Copyright © 2002-2020 sook云 版权所有 备案号:豫ICP备36548666号
本站资料均来源互联网收集整理,作品版权归作者所有,如果侵犯了您的版权,请跟我们联系。