- 1仪表盘,折线图、地图,ONENET应用编辑器2.0(View 2.0)控件使用_goview大屏对接
- 2在线JSON美化格式化工具
- 3用Unity3D实现可展开公告版_unity点击按钮出现公告
- 4java 中死锁_java中死锁
- 5大一新生的第一个作品—51单片机电子秤_(unsigned int)((float)hx711_read()
- 6web安全之点击劫持攻击(clickjack)_clickjacking attack 渗透
- 7cleanmymac X可以用几台电脑,CleanMyMac X for mac 4中文版常见问题_cleanmymacx 几台电脑
- 8Mysql--底层结构、Redolog/Undolog/Binlog详解与区别、通过Binlog恢复数据、主从复制与读写分离详解_mysql原理 undolog binlog
- 9探索与实践:Git Submodule 的全面理解和应用_git submodule 什么场景下使用?
- 102020危险化学品经营单位安全管理人员考试题库及危险化学品经营单位安全管理人员证考试
ua解析接口_web安全之XSS实例解析
赞
踩
XSS
跨站脚本攻击(Cross Site Script),本来缩写是 CSS, 但是为了和层叠样式表(Cascading Style Sheet, CSS)有所区分,所以安全领域叫做 “XSS”;
XSS攻击,通常是指攻击者通过 “HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,对用户的浏览器进行控制或者获取用户的敏感信息(Cookie, SessionID等)的一种攻击方式。
页面被注入了恶意JavaScript脚本,浏览器无法判断区分这些脚本是被恶意注入的,还是正常的页面内容,所以恶意注入Javascript脚本也拥有了所有的脚本权限。如果页面被注入了恶意 JavaScript脚本,它可以做哪些事情呢?
- 可以窃取 cookie信息。恶意 JavaScript可以通过 ”doccument.cookie“获取cookie信息,然后通过 XMLHttpRequest或者Fetch加上CORS功能将数据发送给恶意服务器;恶意服务器拿到用户的cookie信息之后,就可以在其他电脑上模拟用户的登陆,然后进行转账操作。
- 可以监听用户行为。恶意JavaScript可以使用 "addEventListener"接口来监听键盘事件,比如可以获取用户输入的银行卡等信息,又可以做很多违法的事情。
- 可以修改DOM 伪造假的登陆窗口,用来欺骗用户输入用户名和密码等信息。
- 还可以在页面内生成浮窗广告,这些广告会严重影响用户体验。
XSS攻击可以分为三类:反射型,存储型,基于DOM型(DOM based XSS)
反射型
恶意脚本作为网络请求的一部分。
- const Koa = require("koa");const app = new Koa();app.use(async ctx => {
- // ctx.body 即服务端响应的数据 ctx.body = ';})app.listen(3000, () => {
- console.log('启动成功');});
访问 http://127.0.0.1:3000/ 可以看到 alert执行
举一个常见的场景,我们通过页面的url的一个参数来控制页面的展示内容,比如我们把上面的一部分代码改成下面这样
- app.use(async ctx => {
- // ctx.body 即服务端响应的数据 ctx.body = ctx.query.userName;})
此时访问 http://127.0.0.1:3000?userName=xiaoming 可以看到页面上展示了xiaoming,此时我们访问 http://127.0.0.1:3000?userName=, 可以看到页面弹出 alert。
通过这个操作,我们会发现用户将一段含有恶意代码的请求提交给服务器,服务器在接收到请求时,又将恶意代码反射给浏览器端,这就是反射型XSS攻击。另外一点需要注意的是,Web 服务器不会存储反射型 XSS 攻击的恶意脚本,这是和存储型 XSS 攻击不同的地方。
在实际的开发过程中,我们会碰到这样的场景,在页面A中点击某个操作,这个按钮操作是需要登录权限的,所以需要跳转到登录页面,登录完成之后再跳转会A页面,我们是这么处理的,跳转登录页面的时候,会加一个参数 returnUrl,表示登录完成之后需要跳转到哪个页面,即这个地址是这样的 http://xxx.com/login?returnUrl=http://xxx.com/A</
