白帽子讲web安全笔记-xss总结
来源:互联网 发布:mac图片导出到硬盘 编辑:程序博客网 时间:2024/05/21 06:35
xss攻击的本质就是攻击者构造的javascript代码得到执行,任何javascript能做到的事情,xss payload都能做到。如果执行的时候恰好也是处于受害者登录的状态,那么危害将更为严重。
有三种形式的xss
反射型xss
用户输入的内容被提交给服务器后,又返回到客户端得到执行
存储型xss
用户输入的内容被提交给服务器后,被保存到数据库,然后当从数据库查询返回的时候,xss payload得到执行
DOM based xss
产生这类xss的本质原因是,在设计web应用程序的时候,就相信用户的输入。所以会在前端的javascript代码使用用户控制的输入,并输出到html中,并且从头到尾都是在客户端,没有和服务器的交互。
所以,不相信用户输入是该在设计应用的时候就要有的意识。
防御xss
最好的办法是使用安全编码,有三种类型的安全编码,Urlencode,javascriptEncode,htmlEncode。对于用户可以控制的输入变量$var,如果是输出到url,就使用Urlencode,如果是输出到事件或者脚本,就使用javascriptEncode,如果是输出到html内容或者属性,就使用htmlEncode。
利用xss
1.诱导受害者点击一个恶意链接,这个恶意链接或者包含恶意js代码,或者跳转到包含恶意js代码的页面。
2.存储型
阅读全文
0 0
- 白帽子讲web安全笔记-xss总结
- 读书笔记/白帽子讲web安全【xss】
- 【白帽子讲web安全】关于XSS,CSRF,SQL注入
- 白帽子讲WEB安全笔记
- 白帽子讲Web安全
- 白帽子讲Web安全
- 白帽子讲Web安全
- 白帽子讲web安全
- 白帽子讲web安全第二章笔记
- 读书笔记-xss构造技巧-2015-11-30-白帽子讲web安全
- 白帽子讲Web安全读书笔记
- 《白帽子讲Web安全》读书笔记
- 白帽子讲Web安全 札记
- 白帽子讲web安全 读书笔记
- 白帽子讲web安全之1
- 白帽子讲web安全之2
- 白帽子讲web安全之3
- 白帽子讲web安全之4
- Git命令与使用详细教程
- Java易错知识点(1)
- xml文件序列化方式
- 函数栈帧
- 浅谈IT风投
- 白帽子讲web安全笔记-xss总结
- 安防监控VS个人隐私: 360小水滴今日关闭, 为何网友仍期待公共场所直播?
- 学生管理系统开发
- 请问如何在一个List最开始插入一个元素,其他元素一次向后移动一位?
- 二级购物车+EventBus+自定义View实现加减号
- 自定义View——圆形进度条
- 欧拉筛法与积性函数
- spring + redis
- 购物车