超级会员免费看
跨站脚本攻击(XSS)的深入剖析与防范
在当今数字化的时代,网络安全问题日益凸显,跨站脚本攻击(XSS)作为其中一种常见且危险的攻击方式,给用户和开发者带来了诸多困扰。本文将深入探讨XSS攻击的多种形式、攻击案例以及相应的防范措施。
1. 跨站请求伪造攻击的危害
跨站请求伪造(CSRF)攻击是一种危险的攻击方式。通过简单的伪造电子邮件,攻击者就可以提取目标收件箱的内容。如果攻击者获取了cookie的ackid值,就能够完全访问收件箱、附件、所有共享文档以及目标硬盘上的任何文件。例如,只需将脚本的目标地址更改为documents.stp,并对脚本进行修改以解析文档的URL,就可以获取基于文本的文件,如.html、.txt等。由此可见,远程电子邮件和文档访问带来的风险远远超过了其带来的便利。
2. 另类XSS攻击方式
传统的XSS攻击通常与包含易受攻击表单字段(如搜索框)或嵌入代码(如论坛)的网站相关。然而,实际上代码注入用户浏览器的方式有很多种。以下通过几个案例来详细说明。
2.1 利用漏洞评估工具进行攻击
漏洞评估和渗透测试工具在网络安全领域发挥着重要作用,但这些工具本身也可能存在安全漏洞。以SILICA和CANVAS为例,2007年初,Immunity发布了SILICA设备,它将CANVAS渗透测试框架集成在基于无线的自动攻击引擎中。在对该程序进行测试时,发现它会在HTML报告中返回系统的各种信息,其中包括扫描系统的共享列表。于是,攻击者尝试利用恶意构造的共享名称将脚本注入到最终报告中。具体操作步骤如下:
1. 尝试创建包含特殊字符的共享 :在Windows 20
订阅专栏 解锁全文
扫一扫
4
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
