【web安全】Xss Exploits and Defense翻译4
快速回顾
XSS的历史
Ø XSS很早就在网上存在。
Ø 1999年,Georgi Guninski和David Ross联合发表了第一篇关于XSS威胁标题为“脚本注入”的论文。
Ø 2005年,第一个广为人知的XSS蠕虫病毒***流行社交网站MySpace。
Web应用安全
Ø Web互联网上有超过800万网民,100万个网站,每天交易在网上交易数十亿美元。
Ø 各种基于web软件的安全统称为web 应用安全。
Ø Web的流量经常是被防火墙允许的。
Ø XSS尽管是web应用安全的一小部分领域,但是却代表着最大的威胁。
XML 和 AJAX介绍
Ø AJAX是一系列技术用来提高web应用程序的用户体验,提供更好的可用性,和加快访问的速度。
Ø AJAX的核心组件是XMLHttpRequest对象,通过浏览器提供在请求和回复上更强大的控制。
Ø DOM是定义怎么解析XML树结构的一个W3C标准。
常见问题(FAQ)
下面的常见问答是用来帮助你更好地理解本章的概念。如果对本章有任何疑问可以浏览www.syngress.com/solutions然后点击“Ask the Author”表单。
Q:HTML注入和XSS有什么区别?
A:他们确切地说是相同的。在某种情况下,***者注入有效的HTML标记,然而在其他情况下,***者不仅注入HTML标记而且尝试执行一个脚本。
Q:有没有一些防病毒软件可以防御XSS***?
A:没有。防病毒软件防御病毒和恶意代码(可能由XSS漏洞产生)。一些防病毒软件可以检测恶意代码,但是他们不能防御XSS的发生。
Q:XSS蠕虫会在我系统上传播吗?
A:XSS蠕虫影响web应用程序,他们唯一能传播的路径就是利用XSS漏洞。但是,有很多浏览器的BUG可以导致***你的系统。在那种情况下,XSS蠕虫利用浏览器bug可以危害你的系统。
Q:XSS来***为危害我没有访问的在线帐号,是真的吗?
A:浏览器是你信任网络和不信任网络的中间件。每次你浏览一个网页,你悄悄下载脚本然后在浏览器中的另一个环境执行。这些脚本可以访问内部网络地址然后他们可以在内部网络传播。
Q:所有的AJAX应用都存在XSS***的漏洞?
A:尽管大多数的web应用有XSS问题,但是要理解的是,XSS是由客户端/服务端脚本对用户输入过滤不严格引起的。如果你遵循一个强安全实践,你可以预防XSS从过滤或者转义不希望的字符事件开始。
转载于:https://blog.51cto.com/wzhj132/789842
【web安全】Xss Exploits and Defense翻译4相关推荐
- 【web安全】Xss Exploits and Defense翻译2
WEB应用安全 Web互联网上有超过800万网民,100万个网站,每天交易在网上交易数十亿美元.国际经济依赖于网络已经成为一种全球性的现象,因为Web邮件,留言板,聊天室,拍卖,购物,新闻,银行,以及 ...
- web漏洞-xss漏洞
web漏洞-xss漏洞 文章目录 web漏洞-xss漏洞 前言 xss介绍 什么是xss xss漏洞产生原因 xss漏洞危害 xss漏洞分类 反射型xss 存储型xss DOM型xss xss漏洞防护 ...
- 中间件——利用Axis 2 进行Web service开发(中英文双向翻译,中国邮政编码--地址信息查询)
问题描述: 1.利用Java Swing 或SWT 开发一桌面应用程序 2.应用程序中集成以下网站提供的的Web服务:http://www.webxml.com.cn/zh_cn/web_servic ...
- web安全-XSS攻击(一)
XSS攻击和SQL注入都是web安全中很常见的攻击方式,最近先学习XSS攻击,待到XSS学完后再去学习SQL注入,哇(感慨一番),这些知识真的太有趣了. 在开始之前,有必要了解一下概念 1.XSS跨站 ...
- Web漏洞-Xss跨站
25.Xss跨站之原理分类及攻击方法 原理 XSS 跨站漏洞产生原理,危害,特点? 本质,产生层面,函数类,漏洞操作对应层,危害影响,浏览器内核版本等 本质 跨站脚本攻击是指攻击者往Web页面里插入恶 ...
- JAVA WEB之XSS防御工具类代码示例
简述 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆.因此,有人将跨站脚本攻击缩写 ...
- web安全-xss弹弹弹
xss的filter绕过 一.xss原理和分类 1.xss原理 2.xss分类 (1)反射性xss (2)存储型XSS 二.XSS漏洞的危害 三.xss漏洞的测试 1.黑盒测试 2.白盒测试 四.XS ...
- Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的 ...
- web漏洞--xss攻击(跨站脚本攻击漏洞)
目录 1.概述 2.风险 3.存储式XSS漏洞 4.反射式XSS漏洞 5.DOM式XSS漏洞 1.概述 XSS(cross site script)或者说跨站脚本是一种Web应用程序的漏洞,恶意攻击者 ...
最新文章
- LeetCode简单题之二进制矩阵中的特殊位置
- Nature子刊:海大张晓华团队发现马里亚纳海沟微生物抵抗高压的新机制
- java与与短路与_Java中短路运算符与逻辑运算符示例详解
- JSTL(fn函数)
- Rxjava、Retrofit返回json数据解析异常处理
- 表单提交中Get和Post方式的区别及EncType表明提交数据的格式详解
- java 判断object类型_Java多态的6大特性|乐字节
- 疫情病毒全部“抹杀”?用数据模型来解读传播抑制的效果差异!
- transformer李宏毅讲解视频及decoder讲解
- wifi 频段表_wifi频段如何设置为5ghz
- win10双系统启动黑屏,开始菜单闪烁(可能需要引导修复)
- Latex 排版相关(一)
- w7怎么写html代码,笔记本win7系统使用记事本编辑和运行html代码的方法
- 如何从AD中彻底删除Skype For Business(下篇)
- UI设计VIP课程开放20个试听名额啦(先到先得)
- RPA机器人的10大基础功能与2大类型
- 一页纸项目管理,附图表模板,可免费领取 | 再大的项目,都能用1页纸讲明白
- micropython utime库
- 保龄球计分c语言,在C的保龄球得分计算器
- 三星公司uboot模式下更改分区(EMMC)大小fdisk命令