XSS定義されました
XSS、すなわち(クロスサイトスクリプティング)は、中国と呼ばれるクロスサイトスクリプティングの中で発生し、ターゲットユーザーのブラウザ DOMツリーのプロセスが行われたにレンダリングする場合、レベルに予想される範囲内にない JSのコードの実行が発生した時間XSS攻撃。
主なクロスサイトスクリプティングは、上の「クロスサイト」が、「スクリプト」ではありません。ほとんどのXSS攻撃の主な方法は、リモートまたはサードパーティのドメイン上のいくつかのJSコードを埋め込むことです。これは実際に、これは標的部位の範囲の下でコードを実行JS。
攻撃:
1.機密情報へのCookieアクセスの盗難
2.構造のインサート悪意のあるコンテンツページ(反射)を破壊
3.フラッシュ(理解)
4.DDOS(強い難しい守るために)
DDOS:サービス拒否攻撃(分散型サービス拒否)分散、それは単に多数の要求を送信することであることは、その膝にサーバーを作ることです。DDOS攻撃、DOS攻撃の人気の理解がドスを選び出しこと、に基づくことができ、およびDDoS攻撃は、現代技術の致死開発するので、DoS攻撃が減少するので、DDOS攻撃は、公衆網にそこに頼って、意志、ギャングの戦いであります一緒にコンピュータ機器の多くは、1つ以上のターゲットを攻撃します。
技術的な観点では、DDoS攻撃は、ネットワーク通信プロトコルの層をターゲットにすることができ、それは大体意味:ようにTCPクラスSYNフラッド、ACKフラッド、Fraggle UDPクラス、Trinoo、DNSクエリ洪水、ICMPフラッド、Slowlorisクラスとを。通常、攻撃対象の状況下で、最小のコストで最も困難な防衛を達成するために、技術ミックスにアプローチを目標とし、合理的なリズム制御、保護および攻撃のリソースを隠すことができます。
ここではいくつかのSYN攻撃TCPプロトコルです。
一般的なWeb攻撃の要約:https://www.cnblogs.com/morethink/p/8734103.html#DDOS
攻撃:
反射
要求は、ときにXSSコードがURLに存在する、入力としてサーバーに送信、サーバーが応答を解析し、XSSとレスポンスのコードの内容をブラウザに返され、最終的には、ブラウザは、コード実行XSSを解析します。このプロセスは、それほど反射XSSと呼ばれる反射を、希望します
ストレージタイプ(タイプ永続的なXSSの脆弱性)
のみ、その差蓄積型XSSと反射XSS コードがサーバ側に保存されているが送信されなかっ XSSコード(データベース、メモリ、ファイルシステム、等)を提出する必要が、次のページ場合、要求先
XSS DOM
直接反射型と蓄積型XSS XSSに関係するよりも、DOM XSS攻撃は、DOM XSSコードは、サーバーの応答を解析する必要はありませんが、ブラウザ側のDOMによって解析されます。これは完全にクライアントの問題です。
DOM XSS攻撃コードが発生する可能性があり、我々はJSコードが原因と書くということです。私たちは、簡単にXSS攻撃につながり、非常に危険なものであるのeval文が本当のJSのステートメントに文字列を変換することである役割があることを知っているので、JSにはevalを使用しています。evalの文を使用しないでください。
反射型XSS攻撃のデモ
ノードサービスのプレゼンテーションの構築
-
1.新しいフォルダを作成し、コマンドラインを入力します。
express -e ./
カレントディレクトリに実行テンプレートエンジン、などEJSで、急行足場を使用してくださいnpm install
インストールが依存します
-
2. ルート/ index.js設定ルート:
router.get( '/'、関数(REQ、RES、NEXT){ res.set( 'X - XSS-保護'、0); // のXSSの検出のブラウザ閉じ res.render( 'インデックス'を、タイトル{ 'エクスプレス' 、XSS:req.query.xss}); }); // クエリ検索フィールドが明示的に取得します
-
3. ビューは/ index.ejs本体部分が追加されます。
<DIV CLASS = ""> <% - %XSS> <--'-「表現が可能に入力するHTML、エスケープする必要があります! - > </ div>
-
4.コマンドライン:
npm start
サーバーの電源をオンにし -
5.ます。http:// localhostを:3000 /を入力します。
?XSS = <IFRAME SRC = "// baidu.com/h.html"> </ iframe>の
或者?XSS = <IMG SRC = "ヌル"は、onerror = "警告(" 1 ")">
或者?XSS = < Pのonclick = "警告(" 1 ")">点我</ P>イミテーションXSS放射型攻撃。第1の効果は、以下に示します:
XSSの防御
クッキーの保護
重要なクッキーの設定HttpOnlyのは、することで、クライアントを防ぐためにdocument.cookie
クッキーを読みました。サーバーは、このフィールドを設定することができます。
ユーザー入力のための
1.符号化:符号化されたHTMLエンティティ入力されたユーザデータ
2.デコード:
HTMLエンティティの直接のコーディングを避けます
パース補正不対タグDOMを使用してDOMのトランスコーディング
3.フィルタ:
などONERROR、onclickの、として、ユーザーがアップロードしたDOM属性を削除します
スタイルノード、スクリプトノード、IFRAMEノードなどをアップロードするユーザーを削除します
コメントのXSSコードインジェクションの防衛デモ
サーバーでエスケープ1.テキスト、クライアントの逆の意味、そしてDomParse、再濾過
2.使用encode.jsテキストやDOMの解析操作をデコードするdomparse.jsサードパーティ製のライブラリ
プロジェクトリンク:https://github.com/ickedesign/XSS_WebSecurity
拡張機能:他のWebセキュリティの知識
関連情報: