上海快3官方网

追萬軟件公司-專業從事企業軟件定制系統軟件開發用戶管理系統進銷存系統等軟件開發

談談企業軟件開發過程XSS攻擊的那些事

隨著互聯網發展,XSS攻擊事件并不局限于在WEB中出現,在企業軟件開發過程也會經常出現,所以提升此類風險尤為重要。

首先我們看看幾個XSS攻擊歷史案例:

新浪微博遭受XX攻擊:http://soft.yesky.com/security/156/30179156.shtml
人人網遭受XSS攻擊:http://www.freebuf.com/articles/6295.html

我們再來了解下(此段來自百度百科的內容)
“XSS是跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意Script代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的Script代碼會被執行,從而達到惡意攻擊用戶的目的。”

通過以上解釋非常容易理解攻擊者是如何進行XSS攻擊,其實就是一串javascript代碼,<script>alert("我正在對企業軟件進行XSS攻擊")</script>

當瀏覽器解析到此代碼,而瀏覽器并不知道這些代碼改變了原本程序的意圖,會照做彈出一個信息框。

XSS的危害:很多人認為在網頁中彈出一個框其實也沒什么傷害,殊不知在真正應用中,XSS攻擊可以做很多壞事從而對我們的企業軟件造成非常大的危害
1、竊取網頁瀏覽中的cookie值:特別在我們企業應用軟件中,登錄時,系統會記錄用戶的一些登錄信息,如果未做防護,攻擊者可以通過XSS獲取到用戶的COOKIE,從而對我們的企業軟件造成危害
2、劫持流量實現惡意跳轉:簡單來一句代碼,<script>window.location.href="http://juneryuan.com";</script>,這句話意思是說,將打開的某個頁面實現強制跳轉至我們網站,在2011年新浪事件中就出現這BUG,大家可以百度自行了解。
3、向已開發好的軟件進行惡意代碼植入,http://127.0.0.1/xss/example.php?name=<img src='w.123' onerror='alert("我正在對企業軟件進行XSS攻擊!")'> 我們指定的圖片地址根本不存在也就是一定會發生錯誤,這時候onerror里面的代碼自然就得到了執行。
類似的還有onclick、onmousemove、onmouseover等事件,就不再詳述。
介紹一些危害后,再介紹下XSS攻擊一般分為反射型XSS,又稱非持久型XSS,還有一類是儲存型XSS,也就是持久型XSS
反射型及儲存型以后有機會再跟大家做分享
通過上面給大家介紹的,可以看的出來,XSS攻擊介紹及歷史事件會給我企業軟件及WEB應用帶來非常大的麻煩和不可想像的后果,只有我們防范XSS攻擊,才能避免軟件被攻擊者進行攻擊。

XSS攻擊防御:我們一般是對<script>、<img>、<a>等標簽進行過濾,在對<>里內容進行轉換,這樣使得瀏覽器不會對此類標簽進行解析執行,同時也不會影響到我們軟件的使用效果。另外我們還可以通過對參數的限制也能起到預防作用。


最新文章

熱門文章