Web安全基础3 - XSS漏洞.pdfVIP

主讲 ： 第第11页页 88//66/ 11::2255 PPMM ©© 谷安安天天下下版版权权所所有有 第第22页页 88//66/ 11::2255 PPMM ©© 谷安安天天下下版版权权所所有有 ØXSS(cross site script)或者说跨站脚本是一种Web应用程序的漏洞 ， 恶意攻击者往Web页面里插入恶意Script代码 ，当用户浏览该页之 时 ，嵌入其中Web里面的Script代码会被执行 ，从而达到恶意攻击 用户的目的。 第第33页页 88//66/ 11::2255 PPMM ©© 谷安安天天下下版版权权所所有有 Ø盗取用户cookie ，然后伪造用户身份登录 ，泄漏用户个人身份及用 户订单信息。 Ø操控用户浏览器 ，借助其他漏洞可能导致对https加密信息的破解 ， 导致登录传输存在安全风险。 Ø结合浏览器及其插件漏洞 ，下载病毒木马到浏览者的计算机上执行。 Ø修改页面内容 ，产生钓鱼攻击效果 ，例如伪造登录框获取用户明文 帐号密码。 第第44页页 88//66/ 11::2255 PPMM ©© 谷安安天天下下版版权权所所有有 第5页 8/6/2018 1:25 PM © 2015谷安天下版权所有 Ø通过本知识域 ，我们会 ： Ø存储式XSS的概念 Ø了解什么是存储式XSS Ø了解存储式XSS漏洞对安全的影响 Ø存储式XSS的检测 Ø了解存储式XSS漏洞的特征和检测方式 Ø掌握存储式XSS的危害 Ø存储式XSS的安全防护 Ø掌握修复存储式XSS漏洞的方法 Ø了解常用WEB漏洞扫描工具对存储式XSS漏洞扫描方法 第6页 8/6/2018 1:25 PM © 2015谷安天下版权所有 Ø存储式XSS，持久化 ，代码是存储在服务器中的。 Ø存储式XSS是当不可信的用户输入被处理并在没有任何验证的情况 下保存在文件或数据库 ，同时该不可信的数据从存储中被获取然后 在没有编码或转义的情况下反射回响应文中，导致了永久性的每次 存储数据反射回响应文代码就会在浏览器中执行的一种XSS漏洞。 Ø存储式XSS的影响有 ： Ø通过j avascript获取用户的cookie ，根据这个cookie窃取用户信息 Ø重定向网站到一个钓鱼网站 Ø重新更改页面内容 ，假装让客户输入用户名 ，密码 ，然后提交到黑客的服 务器 Ø生成蠕虫 ，迅速扩散到整个网站用户 （微博等） Ø参考 ：http ///articles/web/ 19408.html 第7页 8/6/2018 1:25 PM © 2015谷安天下版权所有 Ø攻击者向被攻击页面写入恶意代码的方法很多 ，最常见的就是在论 坛或留言本中发帖时将html代码写入到被攻击页面中，此外在用户 资料修改、签名、联系方式等地方也是攻击者写入html代码常用的 地方 ，