XSS (跨站腳本攻擊)
XSS是Cross Site Scripting的縮寫,為了避免和CSS混淆,所以縮寫成XSS.
簡介
XSS是指惡意攻擊者利用網站沒有對用戶提交數據進行轉義處理或者過濾不足的缺點,進而添加一些js代碼,嵌入到web頁面中去, 使得惡意代碼遭到執行。
一般分為兩種
反射型 :
通過url帶入一些參數,然后將url發送給其他用戶盜取信息
存儲型 :
將腳本提交到目標網站的db中存儲,當其他用戶訪問到該信息的時候js代碼執行,盜取信息.
主要防御手段 :
轉義敏感字符
CSP
CSRF (跨站請求偽造)
CSRF是指攻擊者偽造一個第三方網站,并在網頁中制作form表單或者url鏈接,指向目標網站,當用戶點擊按鈕,該網頁會將form提交到目標網站,并且如果該用戶在本機登陸過目標網站后,會將cookie也帶過去,造成用戶在不知情的情況下,發生目標網站的請求.甚至攻擊者可以將惡意請求偽裝在img標簽或者腳本中,在用戶不點擊的情況下也可發生請求.
主要防御手段 :
禁止第三方網站帶cookies
same-site屬性
前段頁面加驗證碼
頁面在localstory加token
referer為B網站
Cookies
cookie增加簽名防止用戶串改
點擊劫持
攻擊者偽造網站,在網站內嵌入ifream并連接到目標網站,并將ifream的透明度設置為0,然后在網站的上偽造按鈕,當用戶點擊按鈕時,實際上是操作的ifream,單用戶并不知情,用為ifream的透明度為0,用戶看不見.
主要防御手段 :
js禁止內嵌
X-FRAME-OPTIONS htp頭部
http傳輸竊聽和串改
主要防御手段 :
https TLS加密
