XSS跨站腳本，是一種Web安全漏洞，有趣是是他并不像SQL注入等攻擊手段攻擊服務(wù)端，本身對Web服務(wù)器沒有危害，攻擊的對象是客戶端，使用瀏覽器訪問這些惡意地址的網(wǎng)民。這里就跟大家稍微講解一下網(wǎng)站xss漏洞的利用過程。

網(wǎng)站xss漏洞的利用過程

XSS攻擊：跨站腳本攻擊(Cross-Site Scripting)，為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆， 故將跨站腳本攻擊縮寫為XSS。XSS是一種常見的web安全漏洞，它允許攻擊者將惡意代碼植入到提供給其它用戶使用的頁面中。

這個是動態(tài)站點的威脅，靜態(tài)站點完全不受其影響。

XSS分類

存儲型XSS：

主要出現(xiàn)在讓用戶輸入數(shù)據(jù)，供其他瀏覽此頁的用戶進行查看的地方，包括留言、評論、博客日志和各類表單等。應(yīng)用程序從數(shù)據(jù)庫中查詢數(shù)據(jù)，在頁面中顯示出來，攻擊者在相關(guān)頁面輸入惡意的腳本數(shù)據(jù)后，用戶瀏覽此類頁面時就可能受到攻擊。這個流程簡單可以描述為:惡意用戶的Html輸入Web程序->進入數(shù)據(jù)庫->Web程序->用戶瀏覽器。

反射型XSS：

將腳本代碼加入URL地址的請求參數(shù)里，請求參數(shù)進入程序后在頁面直接輸出，用戶點擊類似的惡意鏈接就可能受到攻擊。

XSS目前主要的手段和目的如下：

盜用cookie，獲取敏感信息。

利用植入Flash，通過crossdomain權(quán)限設(shè)置進一步獲取更高權(quán)限;或者利用Java等得到類似的操作。

利用iframe、frame、XMLHttpRequest或上述Flash等方式，以(被攻擊者)用戶的身份執(zhí)行一些管理動作， 或執(zhí)行一些如:發(fā)微博、加好友、發(fā)私信等常規(guī)操作，前段時間新浪微博就遭遇過一次XSS。

利用可被攻擊的域受到其他域信任的特點，以受信任來源的身份請求一些平時不允許的操作，如進行不當?shù)耐镀被顒印?/p>

在訪問量極大的一些頁面上的XSS可以攻擊一些小型網(wǎng)站，實現(xiàn)DDoS攻擊的效果

XSS原理

Web應(yīng)用未對用戶提交請求的數(shù)據(jù)做充分的檢查過濾，允許用戶在提交的數(shù)據(jù)中摻入HTML代碼(最主要的是“>”、“

以反射性XSS舉例說明XSS的過程，現(xiàn)在有一個網(wǎng)站，根據(jù)參數(shù)輸出用戶的名稱， 例如訪問url：http://127.0.0.1/?name=foobar，就會在瀏覽器輸出如下信息：

hello foobar

如果我們傳遞這樣的url：

http://127.0.0.1/?name=

這時你就會發(fā)現(xiàn)瀏覽器跳出一個彈出框，這說明站點已經(jīng)存在了XSS漏洞。

那么惡意用戶是如何盜取Cookie的呢?與上類似，如下這樣的url：

http://127.0.0.1/?name=

這樣就可以把當前的cookie發(fā)送到指定的站點：www.xxx.com

你也許會說，這樣的URL一看就有問題，怎么會有人點擊?是的，這類的URL會讓人懷疑，但如果使用短網(wǎng)址服務(wù)將之縮短 ，你還看得出來么?攻擊者將縮短過后的url通過某些途徑傳播開來，不明真相的用戶一旦點擊了這樣的url， 相應(yīng)cookie數(shù)據(jù)就會被發(fā)送事先設(shè)定好的站點，這樣子就盜得了用戶的cookie信息， 然后就可以利用Websleuth之類的工具來檢查是否能盜取那個用戶的賬戶。

預(yù)防XSS

答案很簡單，堅決不要相信用戶的任何輸入，并過濾掉輸入中的所有特殊字符。這樣就能消滅絕大部分的XSS攻擊。

目前防御XSS主要有如下幾種方式：

過濾特殊字符

避免XSS的方法之一主要是將用戶所提供的內(nèi)容進行過濾。

使用HTTP頭指定類型

header.set("Content-Type","text/javascript")

這樣就可以讓瀏覽器解析javascript代碼，而不會是html輸出。

關(guān)于網(wǎng)站xss漏洞的利用過程就為大家介紹到這里，XSS漏洞是相當有危害的，在開發(fā)Web應(yīng)用的時候，一定要記住過濾數(shù)據(jù)，特別是在輸出到客戶端之前，這是現(xiàn)在行之有效的防止XSS的手段。另外，如果您的網(wǎng)站安全有遇到威脅或者無法解決的入侵攻擊，可以向安全狗尋求技術(shù)支持，我們會安排專業(yè)的安全技術(shù)團隊為您解決困難。

總結(jié)

以上是生活随笔為你收集整理的xss植入_网站xss漏洞的利用过程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。