PHP

PHP漏洞全解(四)-xss跨站脚本攻击

字号+ 作者:匿名投稿 来源:转载 2016-11-29 11:44 我要评论( )

本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意 代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管......

本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意 代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修改口令和下载非法的内容等请求。

XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS

跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。

跨站脚本攻击的一般步骤:

1、攻击者以某种方式发送xss的http链接给目标用户

2、目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接

3、网站执行了此xss攻击脚本

4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息

5、攻击者使用目标用户的信息登录网站,完成攻击

当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似 http://blog.icxun.cn/search.php?key=" method="POST">

跨站脚本被插进去了

防御方法还是使用htmlspecialchars过滤输出的变量,或者提交给自身文件的表单使用

这样直接避免了$_SERVER["PHP_SELF"]变量被跨站


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Php/368.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • php渗透测试技巧-文件操作

    php渗透测试技巧-文件操作

    2017-03-15 09:35

  • php渗透测试技巧-本地文件包含

    php渗透测试技巧-本地文件包含

    2017-03-15 09:35

  • Put漏洞利用工具PHP在线版

    Put漏洞利用工具PHP在线版

    2017-03-15 09:33

  • PHP一句话破解工具-(每秒1000+)

    PHP一句话破解工具-(每秒1000+)

    2017-03-15 09:27

网友点评
暂时未开启评论功能~