XSS攻撃
フルネームXSS(クロスサイトスクリプティング)、ではないので、XSSと呼ばれるカスケードスタイルシート(CSS)と同じ名前を、とのために。
これは、最も一般的なWeb攻撃の攻撃の一つです!
害
ユーザーがページを開いたときに自動的に、サイトにスクリプトを悪質なスクリプト(コード)を埋め込むために、攻撃者は、することができます
- ユーザーのクッキー、ユーザ名とパスワードを盗みます
- トロイの木馬ウイルスをダウンロード
- ページをジャンプすることを余儀なく
- その他の恐ろしいこと。
原則
ユーザーは、ページ上のフォームに記入フォームに必要事項を記入する必要があるの結果であると仮定します。
<input type="text" name="nick" value="xiaomao">ニックは、ユーザーが入力したユーザー名で、これは正常ですが、入力されたとき:
"/><script>alert("haha")</script><!-今回は、それは検証に合格しません、サーバーは通常、ユーザー名の長さや文字の種類を制限し、サーバーに送信されたユーザー名の束として扱われます。さて、その後、サーバはページのログインページにリダイレクトされますと、先ほど入力した理由の入力がスクリプトに置かれている入力ボックスの後ろに、ユーザー名を持って、ブラウザがポップアップ表示されますプロンプトボックスがあり、ここで効果を実行します「笑」と、害がない、危害の程度は、ユーザが入力した内容に完全に依存します。
1.どのようにユーザーのクッキー、ユーザ名とパスワードを盗むために?
このようなコンテンツがCookieHelper.getCookie(「XXX」)を含む。例えば、ブログでは、悪質なコードのコメント欄では、攻撃者が「コメント」を入力したときに、コードの内容は、その後、他のユーザーが、このブログにアクセスされ、意志悪質なコードの実行が、攻撃者が道による「レビュー」JSONPクロスドメインクッキー情報がサーバーに送信され、その後、他のユーザーのCookie情報を得ることができます==負荷「コメント」は、いくつかのサイトが直接クッキーにユーザー名とパスワードを保存します他の後の攻撃者は、ユーザーのクッキーはまた、個人データを修正するなど、他の悪質なアクションを実行することができますし、漏洩したアカウント情報となるよう、情報が平文で保存されていない場合でも、攻撃者は、httpリクエストクッキーにもたらすために取得することができ、要求は、個人データインタフェースのブログを変更して、成功することができます。このユーザーは、サイトには、比較的大きな危険を引き起こしました。
2.どのようにトロイの木馬ウイルスをダウンロードしますか?
ユーザーがサイト上でスクリプトを挿入することができますので、その後、彼は特定のウイルスのトロイの木馬をダウンロードするには、スクリプトをスクリプトの内容を変更することができます。同様の原理により、必須ポップアップ広告を達成ウェブサイトを訪問し、そう問題ではありませんします。
ジャンプページを強制する方法3.?
「<スクリプト> window.location.href =」www.bug.com「</ SCRIPT>」のようにJSに注入するとアクセスする際、ブラウザは、現在のページにも、この、www.bug.comにこのサイトをジャンプするように強制されますウェブサイトは、ハイジャックと呼ばれています。
予防
XSS攻撃は、入力ページから発信ので、我々だけでされています
1、電話番号、ユーザ名などのフロントエンドでのフィルタリングユーザ入力コンテンツは、直接入力できる文字の制限に対応します。
前記ユーザ入力は、角括弧、スラッシュ、単一/二重引用符のように、HTMLエスケープが格納されます。
3.クッキーの乗っ取りのために、我々はクッキーフィールドセットをキー入力することができます。http-のみ、あなたは、文書のクッキーオブジェクトを介して取得することはできませんが、その負荷のページには影響しません。