小白学安全第四篇之跨站脚本攻击 – 作者:360网络安全学院

有位哲人曾经说过:

所有用户输入的内容都不可信

存在可控输入的地方都可能发生跨站脚本攻击

跨站脚本攻击,简称XSS,通常指攻击者通过HTML/JS注入篡改了页面,插入了代码,先看一些XSS的分类吧

1.pngXSS按照插入的代码是否会存储在服务器端,主要分为两大类:反射型XSS和存储型XSS。

XSS到底能搞啥啊?我怎么没感觉到它的存在呢?先看一组数据,在2007年OWASP所统计的所有安全威胁中,跨站脚本攻击占到了22%,高居所有Web威胁之首。只要你上网浏览器网页,你就可能会受到XSS攻击,别怪我没提醒你哦!

反射型XSS需要攻击者构造恶意的脚本代码,发送给受害者受害者在点击后才能完成攻击过程,容易被警觉性较高的小白发现

来一个弹窗的XSS代码

Egg:http://www.360.cn/index.php?id=<script>alert(1)</script>

你以为我傻,这么明显的JS代码在地址栏中,我能点击?

2.jpg

存储型XSS则会把攻击者的攻击代码保存在服务器端,在没有查看服务器端源码或检测数据库内容时,难以发现。

常见的场景,如某论坛存洞,那么攻击者在留言板中插入了代码,访问此页面的小白、大白都会中招,因为隐蔽性非常强。

看一眼360SRC对存储型跨站的奖励吧

血淋淋的教训

我感觉愧对大家,请看图说话

4.png

没错,你没有看错,的确是360的某论坛,不是我的安全意识不高,而是我相信的网站存在漏洞,导致我收到了攻击

那么XSS漏洞到底有何危害?为什么大家谈XSS色变?

1.  通过窃取用户的cookie,从而达到盗取帐号的目的

2.  钓鱼欺诈,一般通过构造含有跳转功能的JS代码实现

3.  网站挂马,利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上

危害都了解了,还不赶紧和XSS代码混个脸熟,以后看到这些代码,我就知道我可能已经中招了

<script>alert(123);</script>

<ScRipT>alert(“XSS”);</ScRipT>

<img/src=1onerror=alert`1`>

<svg/onload=alert(1)>

光说不练假把式,你需要体验一下,你需要实操一下,请把你的JS代码插入到我的服务器中来吧

http://123.59.120.75/CTF-X55/xsser3.php

请打开天窗说亮话

如何防范XSS漏洞呢,,首先,我告诉你,这是程序员的事情,但请你不要打死他们,打死了就没人修复XSS漏洞了,发生了XSS,虽然不怪我们,但是请记住,你是受害者,你应该有所行动。

5.png

来点小TIPS:

不点击陌生人发来的URL链接

登录网站后点击退出按钮

恭喜你,小白,你已经成为了见框就插的人了……

记得完成课程中的实验哦,实验答案下期公布,期待吧!

来源:freebuf.com 2018-05-25 14:02:03 by: 360网络安全学院

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论