吴翰清讲web安全--XSS攻击
跨站脚本攻击XSS
XSS攻击,通常是指黑客通过“html"纂改了网页,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。
<?php$input = $_GET["param"];echo "<div>".$input."<div>";
?>
正常情况下用户提交param页面会显示该param
可是当提交的是一段html代码时,如,页面就会执行该段代码弹出alert框。
XSS根据效果的不同可以分成如下几类:
第一种类型:反射型XSS
反射型XSS只是简单地把用户输入地数据”反射“给浏览器,也就是说黑客往往需要诱使客户”点击“一个恶意链接,才能攻击成功。反射型XSS也叫做”非持久性XSS"。
第二种类型:存储型XSS
存储型XSS会把用户输入的数据”存储“在服务器段。这种XSS具有很强的稳定性。
比较常见的一个场景就是,黑客写下一篇包含有恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码。
第三种类型:DOM Based XSS
实际上,这种类型的XSS并非按照”数据是否保存在服务器段“来划分,DOM Based XSS从效果上来说也是反射型XSS。单独划分出来,时因为DOM Based XSS的形成原因比较特别,发现他的安全专家专门提出了这种类型的XSS。
通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。
复制代码
<script>function test(){var str = document.getElementById("text:).value;documnet.getElementById("t").innertHTML=" <a href='"+str+"'>testLink</a>";
</script><div id="t"></div>
<input type="text" id="text" value="" />
<input type="button" id="s" value="write" onclick="test()" />
复制代码
构造如下数据: onclick = alert(/XSS/)
点击”write"弹出提示框
或者构造如下数据:
> <img src=# onerrorl=alert(/xss2/) />testLink</a>
点击“write"弹出提示框
吴翰清讲web安全--XSS攻击相关推荐
- 吴翰清讲web安全--安全概述
安全三要素:机密性.完整性.可用性.
- 《白帽子讲Web安全 -- 纪念版 吴翰清著》读后随笔
<白帽子讲Web安全 – 纪念版 吴翰清著> 该书大多数内容举例大多数是2010年左右的 相隔11年左右, 但是内容并没有被淘汰, 感觉很适合入门, 因为内容详细且比较基础 当然, 这只是 ...
- 读书笔记——吴翰清《白帽子讲Web安全》
目录 第一篇 世界观安全 一 我的安全世界观 第二篇 客户端脚本安全 一 浏览器安全 二 跨站脚本攻击(XSS) 三 跨站点请求伪造(CSRF) 四 点击劫持(ClickJacking) 五 HTML ...
- 三分钟黑了阿里?马云下死命令留他?吴翰清辟谣:我没黑过阿里
整理 | 伍杏玲 出品 | 程序人生(ID:coder_life) 不知道什么时候开始,阿里云大牛吴翰清在网上的标签近乎传奇:"三分钟黑掉阿里内网"."唯一让马云睡得安稳 ...
- 阿里云云盾吴翰清:未来将重点构建阿里云用户安全的大生态
近日,由51CTO传媒主办的WOT2016互联网运维与开发者大会在北京珠三角JW万豪酒店召开.秉承专注技术.服务技术 人员的理念,自2012年以来,WOT品牌大会已经成功举办了八届,积累了大量的技术专 ...
- 阿里 P10 级大佬吴翰清离职,下一步或将开启 AI 短视频创业
作者 | 苏宓 出品 | CSDN(ID:CSDNnews) 5 月 25 日,据 Tech 星球报道,阿里巴巴集团研究员吴翰清已从阿里离职,接下来其将深度拥抱 AI 新时代,投身于 AI 短视频赛道 ...
- 【阿里云资讯】阿里云首席安全研究员吴翰清解读:如何保护“互联网心脏”DNS...
如何保护"互联网心脏"DNS 2016年10月21日北京时间19点11分,美国DNS服务提供商Dyn遭受大规模DDoS攻击,导致诸多网站停止服务,最终影响了包括Twitter丶Sp ...
- 阿里研究员吴翰清离职,下一步或将开启 AI 短视频创业
作者 | 苏宓 出品 | CSDN(ID:CSDNnews) 5 月 25 日,据 Tech 星球报道,阿里巴巴集团研究员吴翰清已从阿里离职,接下来其将深度拥抱 AI 新时代,投身于 AI 短视频赛道 ...
- 麻烦的终结者--吴翰清
各位站长.各位来宾大家下午好,今天我演讲的题目是"麻烦的终结者",我觉得安全问题对于中小站长来说并不是业务发展上的重大阻力,并不是迈不过去的难关,安全问题更多的像是一种麻烦,非常讨 ...
最新文章
- Opera 发布新技术 Opera Unite
- Java应用性能调优工具介绍及实践
- 原版英文书籍《Linux命令行》阅读记录3 | 解析文件的描述含义和阅读文件
- Cannot create an instance of OLE DB provider OraOLEDB.Oracle for linked server xxxxxxx.
- 一张图看懂Resnet50与Resnet101算法
- ubuntu实现屏幕的旋转和开启自动旋转屏幕
- vue-cli脚手架和npm init vue@latest 区别
- 怎么知道网站是否被黑 服务器是否被入侵呢
- 41岁职场中年人深度劝告:一定要从小公司往大公司走
- DeFCN debug记录(训练过程),以及对cvpods框架的分析
- Git与远程仓库进行关联设置
- PHP --方法调用
- 轩小陌的Python笔记:day01 计算机基础和环境搭建
- 投资者选择量化基金的四个指标
- 彻底卸载Google Chrome 谷歌浏览器的两种方法.绝对有效
- hdu 2955 01背包
- 程序员,996的压力下,还要去做副业吗?忙,也要做,这是我的答案
- 如何查询期刊的SCI分区
- 嵌入式软件详细设计怎么写?
- 咨询行业的三种商业模式