黑帽SEO

黑帽SEO之黑客技术防护跨站脚本漏洞

  当我们去做外推的时候,正常的外推就是只能留下描述或打开网站看到广告内容,但这样子展示效果并不好,而利用跨站技术,就可以打开网页直接跳转到自己的网站去,更好的提高了网站转换率。

  更直接的来说就是,当你去一个高权重论坛发一片帖子。百度收录以后打开帖子会自动跳转到你的网站去,而从网站内打开帖子不会跳转。

微信截图_20181113173608.png

  跨站脚本攻击(Cross-site scripting,通常简称为 XSS)发生在客户端,可被用于进行窃取隐私、

  钓鱼欺骗、窃取密码、传播恶意代码等攻击。

  XSS 攻击使用到的技术主要为 HTML 和 Javascript,也包括 VBScript 和 ActionScript 等。XSS 攻击对 WEB

  服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,

  从而对网站也产生了较严重的危害。

  XSS 类型包括:

  (1)非持久型跨站:即反射型跨站脚本漏洞,是目前最普遍的跨站类型。跨站代码一般存在于链接中,请

  求这样的链接时,跨站代码经过服务端反射回来,这类跨站的代码不存储到服务端(比如数据库中)。上面

  章节所举的例子就是这类情况。

  (2)持久型跨站:这是危害最直接的跨站类型,跨站代码存储于服务端(比如数据库中)。常见情况是某

  用户在论坛发贴,如果论坛没有过滤用户输入的 Javascript 代码数据,就会导致其他浏览此贴的用户的浏

  览器会执行发贴人所嵌入的 Javascript 代码。

  (3)DOM 跨站(DOM XSS):是一种发生在客户端 DOM(Document Object Model 文档对象模型)中的跨站

  漏洞,很大原因是因为客户端脚本处理逻辑导致的安全问题。

  XSS 的危害包括:

  (1)钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注

  入钓鱼 JavaScript 以监控目标网站的表单输入,甚至发起基于 DHTML 更高级的钓鱼攻击方式。

  (2)网站挂马:跨站时利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶

  意网站窗口等方式都可以进行挂马攻击。

  (3)身份盗用:Cookie 是用户对于特定网站的身份验证标志,XSS 可以盗取到用户的 Cookie,从而利用

  该 Cookie 盗取用户对该网站的操作权限。如果一个网站管理员用户 Cookie 被窃取,将会对网站引发巨大

  的危害。

  (4)盗取网站用户信息:当能够窃取到用户 Cookie 从而获取到用户身份使,攻击者可以获取到用户对网

  站的操作权限,从而查看用户隐私信息。

  (5)垃圾信息发送:比如在 SNS 社区中,利用 XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的

  目标群。

  (6)劫持用户 Web 行为:一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为,监视用户的浏览历史,发送

  与接收的数据等等。

  (7)XSS 蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施 DDoS 攻击等。

  常用的防止 XSS 技术包括:

  (1)与 SQL 注入防护的建议一样,假定所有输入都是可疑的,必须对所有输入中的 script、iframe 等字

  样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括 HTTP 请求中的 Cookie 中

  的变量,HTTP 请求头部中的变量等。

  (2)不仅要验证数据的类型,还要验证其格式、长度、范围和内容。

  (3)不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。

  (4)对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码

  等操作,在各处的输出点时也要进行安全检查。

  (5)在发布应用程序之前测试所有已知的威胁。

本文链接:/portal/article/index/id/168/cid/2.html
赞 ()

相关推荐

0.372712s