登录 | 注册

优就业Web前端教程-Web前端攻击详解

首页 > Web前端 > Web标准 2016-10-26 17:04:26 浏览次 共 条评论

收藏赞(分享

前端攻击成因

Web网页的脚本中,有些部分的显示内容会依据外界输入值而发生变化,而如果这些声称html的程序中存在问题,就会滋生名为跨站脚本的安全隐患

XSS跨站脚本攻击:

英文全称cross-site-scripting,为了区别于cascading style sheets层叠样式表(CSS),因此缩写为XSS。

Web应用程序中,如果存在XSS漏洞,就会有以下风险:

1、用户的浏览器中运行攻击者的恶意脚本,从而导致库kit信息被窃取,攻击者就会假冒用户的信息进行登录。

2、攻击者能够获取用户的权限,来恶意使用web应用的功能。

3、可以向用户使用伪造的数据表单,通过钓鱼的方式来窃取用户的个人信息。也就是我们这里讲到的主要的钓鱼攻击和盗取cookie

接下来以实际的例子来看

钓鱼攻击

提交单引号,显示有语法错误

 

 

通过url的输入,我们能在页面中显示出来,那我们是否可以构造一个js脚本,我们来看一下效果。能够弹出一个警告框,说明跨站脚本攻击漏洞存在

 

 

怎么构造钓鱼?使用标签iframe.可以看到百度已经在这里嵌入了

 

 

假如这是一个银行网银登录的网站,存在这样的漏洞,那我们作为攻击者,我可以构造一个类似的页面,把它原有的登录框覆盖掉。我可以把这个链接发给被攻击者,以邮件或者其他的方式,这里需要用到的技术是社会工程学,诱使被攻击者访问这个链接,最终欺骗他来登录,而攻击者就可以轻易的拿到被攻击者的账号和密码信息。也有人问,发过去的这个链接带有这样的标志或参数,被攻击者一眼就能看出来。在这里,我们可以对这段代码进行编码,不管是url的编码还是其他方式的编码,也就是说,被攻击者一眼看不出来这个异常,所以就会被诱使去访问这个链接,最终造成影响。这个是钓鱼攻击。

盗取cookie

这里需要用到一个函数document.cookie同样是个警告提示。可以看出它的PHPSESSID已经被显示了出来,但这种显示是不可能达到攻击效果的

 

免责声明:本文来源于博客园,由网友提供或网络搜集,仅供个人研究、交流学习使用,不涉及商业盈利目的。如有版权问题,请联系本站管理员予以更改或删除。优知网会定期发布Web前端相关趋势文章,包括 Web标准 HTML5 CSS JS JQuery Ajax 网页特效 等领域,敬请关注!

分享到
人收藏5 收藏
 
相关文章
优就业开发分享-亿级 Web 系统的容错性建设实践
优就业开发分享-亿级 Web 系统的容错性建设实践
优就业web前端教程-20个web前端常用的CSS小技巧汇总
优就业web前端教程-20个web前端常用的CSS小技巧汇总
优就业web前端教程-移动web开发之屏幕三要素
优就业web前端教程-移动web开发之屏幕三要素
优就业 Web动效研究与实践
优就业 Web动效研究与实践
 
 

咨询中心

优就业微信扫一扫
微信扫一扫

400-650-7353

加入官方微博