参考:
いくつかの一般的なWebセキュリティの問題で大型のフロントエンド開発
1クロスサイトスクリプティング(XSS攻撃)
XSS(クロスサイトスクリプト):他のユーザーがサイトを参照すると、攻撃の目的を達成するために、このコードは、自動的に実行されますが、XSSの脆弱性(受信)悪意のあるHTMLやJSのコードを持っている攻撃者を入力します。このような他のウェブサイトにリダイレクトユーザークッキー、ページ構造の破壊を、盗むよう。
XSS攻撃の分類
XSS攻撃は、一般的な「クロスサイト」に焦点を当てたWeb攻撃、ある「クライアントを実行します。」何人かの人々のXSS攻撃は、すなわち3種類に分かれています
-
折り返し型XSS(反射ベースXSS攻撃)
-
保存されたXSS(ストレージベースのXSS攻撃)
-
DOMベースまたはローカルXSS(DOMベースのXSS攻撃またはローカル)
折り返し型XSS(反射ベースXSS攻撃)
ウェブ攻撃の実装を開始するために、サーバスクリプト、クライアント・トリガーから返さ主にサイトに依存しています。
例えば:
1は、コンテンツを検索するための検索ボックスに、「<スクリプト>警告( 『私は攻撃したい』)</スクリプト>」、[検索]をクリックします記入します。
2は、返されたデータをフィルタリング何ページエンドページに直接表示されていない、それは文字列を警告します。
アラートが悪意のあるコード、ユーザーのCookieアドレスへのアクセス、アカウントのパスワード、またはそうでフィッシングサイトにリダイレクトし、置き換えられた場合3、。
セキュリティ対策:
表示データのフロントエンドにおいて、サーバがあってもプロパティの値も必要になることがあり、逃れるために、ラベルの内容をフィルタリングする必要がないだけです。 後端は、要求を受信した場合2.、認証要求は、攻撃シールドを攻撃するための要求です。 タグ: < スパン> < スクリプト> アラート(' ハンサムボーイ' )</ スクリプト> </ スパン> エスケープ < スパン> &LT;スクリプト&GT;アラート(&#39;ハンサムボーイ&#39;)&LT; / SCRIPT &GT </ スパン>
ストアドXSS
悪質なクロスドメインスクリプトとポスト/記事で公開され保存されたXSS攻撃、ため、サーバーに基づいて、ポスト/記事ストレージへの各アクセスは、悪意のあるスクリプトの実行をトリガします。
予防:
-
サーバーをフィルタリングする場合は、チェックのフロントエンドので、バイパスすることができます。
-
サーバは時間をチェックしません、そこにさまざまな方法で遠位悪意のあるスクリプトを濾過し、例えばスクリプトタグ、HTMLエンコーディングに特殊文字を変換することができます。
DOMベースまたはローカルXSS
無線LANのトラフィック乗っ取り - JSスクリプトキャッシュポイズニング
予防:HTTPSを使用
2クロスサイトリクエストフォージェリ(CSRF攻撃)
SQLインジェクション攻撃を防ぐ - 研究ノート