超级会员免费看
网络安全:跨站脚本攻击检测技术综述
1. 引言
随着互联网的发展,Web 应用和基于互联网的服务变得无处不在,广泛应用于各种商业模式和组织中。像医疗保健、银行和应急响应等关键系统也越来越依赖这些应用和服务。因此,Web 应用除了为用户提供预期价值外,还需要可靠的安全机制来保障其安全性。
本文聚焦于 Web 应用中常见的跨站脚本攻击(XSS 攻击)。XSS 攻击是指攻击者将恶意代码注入 Web 应用,破坏用户与网站之间的信任关系。一旦攻击成功,攻击者可能绕过隐私控制、损害应用完整性,获取用户的敏感信息。接下来,我们将介绍两种主要的 XSS 攻击类型,并探讨现有的预防方法及其局限性。
2. 跨站脚本攻击类型
2.1 持久型 XSS 攻击
持久型 XSS 攻击通常发生在输入验证机制较弱的留言板类 Web 应用中。攻击者将恶意的 HTML/JavaScript 代码作为消息发布到易受攻击的 Web 应用(VWA)中,该代码会被持久存储在应用的数据仓库中。当其他用户查看该消息时,浏览器会在应用的信任上下文中执行这段代码,从而导致用户的敏感信息(如 cookie)被发送到攻击者的恶意域名(MD)。
以下是一个示例代码:
<HTML>
<title>Welcome!</title>
Hi everybody! See that picture below, that’s my city, well where I come from ...<BR>
<img src=”city.jpg”>
订阅专栏 解锁全文
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
