-
跨站漏洞
鎖定
跨站漏洞是由於程序員在編寫程序時對用户提交的數據沒有做充分的合規性判斷和進行HTML編碼處理,直接把數據輸出到瀏覽器客户端,這樣導致用户可以提交一些特意構造的腳本代碼或HTML標籤代碼,並在輸出到瀏覽器時被執行。黑客利用跨站漏洞輸入惡意的腳本代碼,當惡意的代碼被執行後就形成了所謂的跨站攻擊。一般來説對於人機交互比較高的程序,比如論壇,留言板這類程序都比較容易進行跨站攻擊。
- 中文名
- 跨站漏洞
- 外文名
- XSS
- 結 果
- 在網站中插入任意代碼
- 原 因
- 沒有做充分的過濾
- 特 點
- 帶有像JavaScript等這類腳本代碼
跨站漏洞防範跨站攻擊
跨站攻擊相對於其他網絡攻擊而言顯得更隱蔽,也更難防範。很多時候問題並不出在用户身上,而是由於網站的問題,即使我們裝了防火牆,也對跨站攻擊無能為力,因此防範跨站攻擊我們得從兩方面入手,即網站方面和個人用户方面:
跨站漏洞過濾特殊字符
跨站漏洞限制字符長度
2.限制輸入字符的長度對於一些可以進行跨站攻擊的表單對象中,我們可以限制其輸入字符的長度。跨站腳本代碼往往較長,如果限制了輸入字符長度,也可以起到很好的防範作用。這個功能可以在數據庫中設置,也可以編寫一段程序代碼來實現。
跨站漏洞限制上傳文件
3.限制用户上傳flash文件使用flash文件進行跨站攻擊可謂防不勝防,如果不能檢測用户上傳的flash文件的安全性,索性限制用户上傳flash文件,以徹底阻斷flash跨站攻擊的途徑。
跨站漏洞提高安全等級
4.提高IE瀏覽器的安全等級個人用户防範跨站攻擊有一定的難度,但仍可以通過設置來降低被攻擊的概率。運行IE瀏覽器,選擇“工具”菜單→“Internet 選項”,切換到“安全”標籤,將安全級別設置為高,同時可以在“自定義”中進行詳細的設置,將一些不需要運行的腳本禁用。但是這樣設置後會造成一些正常的頁面無法打開,如何取捨就看各位了。
跨站漏洞增強安全意識
5.增強安全意識和防範措施安裝殺毒軟件是必須的,碰到那些插入網頁木馬的跨站攻擊,即使跨站成功,我們運行了網頁木馬,殺毒軟件仍能在最後一步將木馬攔截下來。
跨站漏洞不要有好奇心
此外,用户需要“收斂”對那些具有誘惑力鏈接的好奇心,同時“吝嗇”自己的鼠標點擊,不輕易點擊陌生鏈接。在不同的地方使用不同的密碼,即使黑客通過跨站攻擊獲取了你的cookie,並破解出了你的密碼原文,這樣你損失的也只是一個賬户而已,不至於全軍覆沒。
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:12次歷史版本
- 最近更新: consequenceday