KiMoGiGi 技术文集

不在乎选择什么,而在乎坚持多久……

IT博客 首页 联系 聚合 管理
  185 Posts :: 14 Stories :: 48 Comments :: 0 Trackbacks

Cross-Site Scripting中文譯為「跨站腳本攻擊」,簡稱XSS。此乃是駭客利用網站上允許使用者輸入字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意的網站,而受到某種型態的影響。

XSS攻擊介於駭客與使用者之間的攻防戰,並不會對server主機有任何威脅,所以才被稱為跨站腳本攻擊,意思即是:駭客使用某些語言(腳本)跨過主機對使用者進行攻擊。

換句話說,要防止XSS攻擊,修改程式碼為不二法則。最簡單防止XSS的攻擊,必須在使用者輸入欄位加入過濾字串的功能,將『<』、『>』、『%』、『/』、『()』、『&』等符號進行過濾不予輸出至網頁,或限定欄位長度的輸入。

詳見全文:http://security.sinica.edu.tw/infosec-web/viewtopic.php?t=251

.....................................................................................................................................................................................

這裡有一份文件,很詳細。建議您一定要看(資料來源:地方政府資通安全服務中心 / www.sss.org.tw

 

Cross Site Script漏洞檢測與說明會講義下載

Http://www.sss.org.tw/downloads/V0911.rar

.....................................................................................................................................................................................

 

2007十大Web安全漏洞 跨站腳本攻擊XSS居首 

http://financenews.sina.com/sinacn/304-000-106-109/2007-07-11/0350496219.html

開放Web軟件安全計劃(Open Web Application Security Project,OWASP)台灣分會今發表2007十大Web安全漏洞,年初曾發生在知名文件閱讀器Adobe Acrobat Reader上的跨站腳本攻擊(Cross Site Scripting,XSS)居首位。

..................................................................................................................................................................................... 

跨站腳本攻擊與防禦(簡體中文) http://www.xfocus.net/articles/200607/874.html

所謂跨站腳本漏洞,其實就是Html的注入問題,惡意用戶的輸入,在沒有經過嚴格的控制下,進入了資料庫,最終顯示給來訪的用戶,導致可以在來訪用戶的瀏覽器裏,一執行(瀏覽)Html代碼,資料流程程如下:

惡意用戶的Html輸入—>web程式—>進入資料庫—>web程式—>用戶瀏覽器

這樣我們就可以清楚的看到Html代碼是如何進入受害者瀏覽器的了,我們也就可以根據這個流程來討論跨站腳本的攻擊與防禦了!
 

..................................................................................................................................................................................... 

其他相關文章:http://plog.longwin.com.tw/my-favorite-site/2007/03/17/xss_sql_injection_cheat_sheet_20070317

 

駭客就是這樣玩弄你的網站,看看這些輸入字串,你的網站是否有過濾呢?

沒有的話,XSS攻擊馬上到... http://ha.ckers.org/xss.html  

 

需要更多資料,可以查詢 Google。關鍵字----跨站腳本攻擊

posted on 2008-07-10 22:27 KiMoGiGi 阅读(388) 评论(0)  编辑 收藏 引用 所属分类: Web小技巧
只有注册用户登录后才能发表评论。