深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广于一体的互联网应用服务公司
首页 > 行业新闻 > 深圳网站设计公司谈XSS漏洞的几种类型
Industry News 行业新闻
深圳网站设计公司谈XSS漏洞的几种类型
发布时间:2014-7-8 21:09:15  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS漏洞表现为各种形式,并且可分为3类型。XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为,通常难以看到XSS漏洞的威胁,而该病毒则将其发挥得淋漓尽致。虽然这些3种漏洞类型具有一些的特点,但在如果确定及利用这些漏洞方面,仍然存在一些重要的差异,下面深圳网站设计——深圳市方与圆网络将分别介绍每一类XSS的漏洞。
1.保存型XSS漏洞
如果一名用户提交的数据被保存在应用程序中(通常保存在一个后端数据库中),然后不经适当地过滤或净化就显示给其他用户,这时就会出现这种保存型的XSS漏洞。
2.反射型XSS漏洞
如果一个应用应用程序使用动态页面向用户显示错误的消息,就会造成一种常见的XSS漏洞。通常,使用该页面的机制非常方便,因为它允许它们从应用程序中调用一个定制的错误页面,而不需对错的页面进行硬编码。使用该页面会使用一个包含消息文本的参数,并在响应中将这个文本返回给用户。
3.基于DOM的XSS漏洞
第三类的XSS漏洞并不具有与保存型和反射型一样的特殊性的行为模式,前两种类型都是提取用户控制的数据并以危险的方式将这些数据返回给用户。在第三种的漏洞中,攻击者的JavaScript是通过以下过程得以执行的。
①用户请求一个经过专门设计的URL,它有攻击者提交,并且其中包含嵌入式JavaScript
②服务器的响应中并不以任何形式包含的攻击者的脚本
③当用户的浏览器处理这个响应时,上述脚本得以处理

咨询热线:0755-21053063   13631618751   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2020 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息