XSS漏洞类型原理及防御方式_三种xss漏洞防御(xss漏洞修复)

XSS漏洞类型原理及防御方式_三种xss漏洞防御DOM型
1、反射型XSS
当发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容

DOM类型

1、反射型XSS

当发出请求时,URL中出现XSS代码,服务器解析并响应,最后浏览器解析并执行。 XSS 代码。

流程图:

让我们举个例子:

这是一个含有xss的网页。接下来,通过在输入框中输入js脚本代码来测试脚本是否运行。

#通常输入以下代码之一

scriptalert(/xss/)/script //提示框弹窗

scriptconfirm(\’xss\’)/script //弹出确认框窗口

scriptprompt(\’xss\’)/script //输入框弹出窗口

#这些代码简单,效果明显

点击“测试”并提交数据后,您将看到您输入的js被执行,并弹出提示框。

从URL中可以看到,输入的值被组合到URL中,作为参数传递给后端,经过钩子处理,然后返回到页面由浏览器解析。要执行的脚本。

源代码:

特点: 1.即时性。可以直接通过HTTP GET和POST请求进行攻击,获取用户的个人数据,无需经过服务器存储。 2.攻击者需要欺骗点击。修复; 4. 盗窃获取用户机密信息。

2、存储型XSS

存储型XSS(也称为持久型XSS)就是这样。将请求目标页面的XSS 代码。

过程:

让我们举个例子:

上面的公告牌有xss漏洞,所以我就把js脚本留在公告牌上贴出来。

js 脚本被执行,但此时我没有看到与反射类型有任何区别。但我关闭页面然后再打开,或者点击另一个页面然后点击返回。

可以看到js代码又被执行了,消息列表也显示出来了。当你进入一个页面时,浏览器会解析该页面,列表中的数据也会被解析。 js脚本将被执行。只要有人访问它们,Node.js 脚本就会继续运行,除非它们被删除,从而导致代码自动执行和持久化。

**特点:** 1. 持久化嵌入数据库。 2. 它具有广泛的损害,甚至可以将您的机器变成DDoS 攻击的肉鸡。 3、窃取用户敏感个人信息。

3、DOM型XSS

DOM(文档对象模型的正式名称)是一个独立于平台和语言的接口,允许程序和脚本动态访问和更新文档的内容、结构和样式。理解DOM-XSS 的一个简单方法是它确实如此。通过DOM 操作输出前端代码时出现的问题,不会与后台服务器生成数据交互。

DOM 有许多对象,其中一些对象可以由用户操作,例如URI、位置和refelTers。客户端脚本程序可以通过DOM 动态检查和修改页面的内容。它不依赖于向服务器发送数据,但如果DOM 中的数据不存在,它会从客户端检索DOM 中的数据并在本地执行。经过严格验证,产生DOM XSS漏洞。

让我们举个例子:

结合前端和源码我们可以看到,当我们点击“click me”时,我们输入的值会被js脚本代码处理后插入到ID为“dom”的标签中。可以看到只在前端完成,并没有经过服务器后端。

四、防御手段

1. 过滤输入和URL参数(白名单和黑名单)

检查用户输入的数据中是否含有“,\’,”等特殊字符。如果发现特殊字符,则对这些特殊字符进行过滤或编码。

2. 对HTML 实体进行编码

如何将字符串js编码转换为实体html编码

3. 对输出内容进行编码

当变量输出到HTML页面时,可以使用编码或转义来防止XSS攻击。

哪个兄弟不知道你可以提前回答网络安全面试问题?我们整理了160多道网络安全面试题(金9银10),让你的网络安全面试脱颖而出,我花了一周的时间才完成。做吧。

王兰一工程师面试题及答案,暂时只能对兄弟们有帮助了!如果你能正确回答70%的问题,找到一份稳定的工作应该不是什么大问题。

对于有1-3年工作经验后想换工作的朋友来说,这也是一个很好的资源!

【如何获取完整版在文末! ]

93 网络安全面试问题

我就不一一截图了,因为内容太多了。

黑客学习资源推荐

最后给大家分享一套完整的网络安全学习资料,对所有想学习网络安全的人都有用。

对于刚接触网络安全的学生,我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。

朋友们,如果您需要的话,请联系我们获取~

1零基础入门

学习路线

对于刚接触网络安全的学生,我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。

路线对应学习视频

同时,还根据成长路线提供了每个部分的支持视频。

2视频配套工具国内外网安书籍、文档

工具

视频

书籍

由于资源比较敏感,所以需要的资源并没有完全显示在底部。

简历模板

由于篇幅有限且信息较为敏感,我们仅展示部分信息。

#以上XSS漏洞类型原理及防御方法相关内容来源_三类XSS漏洞防护仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92156.html

(0)
CSDN的头像CSDN
上一篇 2024年6月25日
下一篇 2024年6月25日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注