您正在学习的是试看内容,报名后可学习全部内容 报名课程
人气值 2.6k

七、WEB安全-快速找出网站中的XSS漏洞

一、XSS背景简介

跨站脚本攻击(Cross Site Scripting)是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

二、漏洞成因

造成XSS漏洞的原因就是,攻击者的输入没有经过严格的控制,最终显示给来访的用户,攻击者通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java, VBScript, ActiveX, Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限、个人网页内容、会话和cookie等各种内容。

三、课堂内容

主要分为三大部分:

3.1 漏洞原理概述

1. 反射型
2. 存储型
3. DOM型

3.2 找出漏洞思路

1. 根据业务逻辑
2. 根据存储方式

3.3 通过工具扫描

1. 抓包并自动扫描
2. 扫描结果分析
3. 结果验证实践

3.4 代码审计步骤

1. 正向审计
2. 反向审计
3. 关键词审计

此前写了三篇关于XSS的文章,看到文章点赞度还比较高,因此再出一个视频讲解,参考笔者以往文章:

  1. https://segmentfault.com/a/11...
  2. https://segmentfault.com/a/11...
  3. https://segmentfault.com/a/11...