内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

Web术语

2018-05-15 12:35 出处:清屏网 人气: 评论(0

定义:XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

方案:对特殊字符转义,不要相信任何来自用户的输入(请求体、queryString甚至是请求Headers)

XSS漏洞的原理

CSRF(跨站点脚本Cross-site request forgery)

定义:是指在黑客已经将代码植入受害用户的浏览器访问的页面的前提下,以“受害用户”的身份向服务端发起一个伪造的http请求,从而实现服务器 CRUD 来执行读写操作。

方案:token + Referer(Request Header)、验证码

PS:Referer 首部包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。

CSRF漏洞的原理

SQL注入

定义:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

方案:使用参数化的过滤性语句、输入验证、错误消息处理、加密处理、存储过程来执行所有的查询、使用专业的漏洞扫描工具、确保数据库安全、安全审评

MIMT(中间人攻击Man-in-the-middle-attacks)

定义:Client <–> Proxy Server(Middle Man) <–> Web Server真是服务器

Client 发出的请求 和 Web Server返回的数据都经过Proxy Server 转发,这个Proxy Server 就起到了一个Middle Man的作用,如果这个“中间人” 够黑,那么整个代理过程的数据都可以由这个“中间人”控制,“中间人”可以进行截取敏感数据、代码注射、Proxp worm操作。


分享给小伙伴们:
本文标签: XSS漏洞

相关文章

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号