admin管理员组文章数量:1530518
2024年5月10日发(作者:)
网络安全课程论文
--浅谈XSS跨站脚本攻击的危害
姓名:代雷波
学号:20103190
专业:网络工程
2013年5月21日
浅谈XSS跨站脚本攻击的危害
众所周知,网站中包含大量的动态内容以提高用户体验,比过
去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应
用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本
攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS)
的威胁,而静态站点则完全不受其影响。
什么是XSS 跨站攻击?
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗
取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件
时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就
能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将
链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的
请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是
那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允
许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇
包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会
执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下
面阐述。
那么到底什么是XSS呢?我这里简单的说一下,举例子HTML代
码: *** 这是个简单的HTML的代码。这段代码
的意思是设置字体大小为“2”,假设我想发表这个代码,我发表这个代
码是显示给大家看,给用户看!但是浏览器误认为这是一段html代
码,于是将它作为HTML代码进行执行,这时候我们发表的字体可能
被这段代码修饰成了2号字体。也就是说这段代码被浏览器执行成了
HTML语言,而不是直接输出来给用户看!不知道大家是否明白。再
举例 。这是一个最简单的javascript脚本语
句,javascript是可以嵌入到HTML页面中,并且也会被执行,js脚本
不仅可以在单个页面中执行,也可以单独作为js文件进行调用。那么
是什么意思呢?它的含义就是弹出一个警告框,框中的内容为XSS。
如下图:
假设我们想将代码输出给用户给大家看,但又被浏览器当成了
javascript语言执行了,弹出一个提示内容为XSS的警告框,这就说明
网站存在XSS跨站漏洞,它会将用户提交的特殊代码当成脚本语言去
版权声明:本文标题:网络安全之XSS漏洞的危害 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1715325992a446486.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论