Cloud Native应用交付

  • 首页
  • 关于本站
  • 个人介绍
  • Downloads
  • Repo
    • Github
    • Container
  • F5
    • F5 Python SDK
    • F5-container
    • F5-LBaaS
  • 社交
    • 联系我
    • 微信/微博
    • 公众号
    • 打赏赞助
行至水穷处 坐看云起时
Cloud Native Application Services: cnadn.net
  1. 首页
  2. 网站技术
  3. 正文

XSS,CSS跨站攻击-基本原理及演示

2009年08月3日 8674点热度 0人点赞 0条评论

CSS cross site scripting 跨站脚本 也叫XSS。OWASP将其列为WEB安全的头号风险,主要由于该类攻击及其常见和容易被利用。所谓跨站攻击其实也就是代码(js,vs,html等)注入,利用程序自身对输入、输出的内容不能进行彻底的过滤和编码而导致的浏览器脚本执行,从而损害访问者。利用CSS可以实现cookie窃取,钓鱼,会话劫持,插入木马,权限提升等工作。常见的跨站类型有reflected, stored, and DOM injection。

防范方法:

1.使用WAF等应用防火墙设备

2.程序员应严格的对input,output和将要被存储到服务器的数据进行严格的过滤并进行并使用正确的编码,而不是简单的过滤一些常见的敏感字符,任何一个泄露都可能会被利用,因为CSS攻击是相当灵活的。

3.应使用白名单方式对各种变量 输入 输出进行合法检验,而不应该使用黑名单。

4.使用微软anti-xss 库或者php anti-xss库

攻击示例:

跨站 cookie 截取: 

一个后台提交的页面,由于没有进行充分的过滤,在输入上面的代码后,点击提交,用户当前的浏览页面将被定向到一个站点,该站点用来采集用户在这个网站的SESSION和cookie。这样该用户的cookie和会话信息将被攻击者获取。点击提交后的效果如下: 

(由于测试机器安装有mcafee杀毒软件,软件直接拦截了本次攻击,如果禁止杀毒软件,结果将会如下) 

 

攻击者可以将各个访问者的cookie记录下来,以便伪造。

如果这些注入的攻击代码被写入到数据库,例如是论坛的一个帖子内容里,这样所有访问该页面的用户的信息都将被攻击者获取,包括管理员的信息。

而如果这些代码是iframe一个木马页面,那么网站就等于被挂马了。

www.myf5.net原创,转载请注明

相关文章

  • Long time no see
  • 博客环境迁移
  • 启用cloudflare免费服务
  • 本博客相关技术特性支持
  • 搞到最后已经搞不清楚谁同步谁了
本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可
标签: css xss 跨站攻击 store css reflect css cookie
最后更新:2009年08月3日

纳米

linjing.io

打赏 点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复

这个站点使用 Akismet 来减少垃圾评论。了解你的评论数据如何被处理。

页面AI聊天助手

纳米

linjing.io

☁️迈向Cloud Native ADC ☁️

认证获得:
TOGAF: ID 152743
Kubernetes: CKA #664
Microsoft: MCSE MCDBA
Cisco: CCNP
Juniper: JNCIS
F5:
F5 Certified Solution Expert, Security
F5 Certified Technology Specialist, LTM/GTM/APM/ASM
F5 Certified BIG-IP Administrator
  • 点击查看本博技术要素列表
  • 归档
    分类
    • AI
    • Automation
    • Avi Networks
    • Cisco ACI
    • CISCO资源
    • F5 with ELK
    • F5-Tech tips
    • F5技术
    • Juniper
    • Linux
    • NGINX
    • SDN
    • ServiceMesh
    • WEB编程
    • WINDOWS相关
    • 业界文章
    • 交换机技术
    • 化云为雨/Openstack
    • 协议原理
    • 容器/k8s
    • 我的工作
    • 我的生活
    • 网站技术
    • 路由器技术
    • 项目案例
    标签聚合
    network docker flannel F5 bigip gtm istio k8s DNS api envoy irule nginx neutron openstack
    最近评论
    汤姆 发布于 8 个月前(09月10日) 嗨,楼主,里面的json怎么下载啊,怎么收费啊?
    汤姆 发布于 8 个月前(09月09日) 大佬,kib的页面可以分享下吗?谢谢
    zhangsha 发布于 1 年前(05月12日) 资料发给我下,谢谢纳米同志!!!!lyx895@qq.com
    李成才 发布于 1 年前(01月02日) 麻烦了,谢谢大佬
    纳米 发布于 1 年前(01月02日) 你好。是的,因为以前下载系统插件在一次升级后将所有的下载生成信息全弄丢了。所以不少文件无法下载。DN...
    浏览次数
    • Downloads - 183,762 views
    • 联系我 - 118,966 views
    • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料 - 116,497 views
    • Github - 103,649 views
    • F5常见log日志解释 - 79,774 views
    • 从传统ADC迈向CLOUD NATIVE ADC - 下载 - 74,623 views
    • Sniffer Pro 4 70 530抓包软件 中文版+视频教程 - 74,320 views
    • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料 - 67,770 views
    • 关于本站 - 60,905 views
    • 这篇文档您是否感兴趣 - 55,491 views
    链接表
    • F5SE创新
    • Jimmy Song‘s Blog
    • SDNlab
    • Service Mesh社区
    • 三斗室
    • 个人profile
    • 云原生社区

    COPYRIGHT © 2023 Cloud Native 应用交付. ALL RIGHTS RESERVED.

    Theme Kratos Made By Seaton Jiang

    京ICP备14048088号-1

    京公网安备 11010502041506号