Inhaltsübersicht
"越野烹饪" (XSS)是针对特定代码注入的安全打击, 在某用户的网页浏览器上删除有害的客户端脚本. 目标不会被直接攻击, 使用受保护的网站和限制标准,实施“越发的越野烹饪”袭击, 的情况下. in diesen Anwendungen agieren.
例如,如果一个无知的用户号召一个叛逆网站, 它会在这个时间装入攻击者恶意的脚本,然后在用户浏览器上执行. 这可能导致盗取敏感数据,并导致很多开会.
因为网页浏览器和平台支持JavaScript, 这成了进攻xss的首选武器, 尽管这种攻击可以用任何语言写成, 有浏览器支持的平台. 尽管xss袭击已经持续了15年了, 测试结果非常有效,现在仍然是 7 gängigsten Arten von Angriffen gesehen.
如果一个网页感染了"越野烹饪"越野演绎, 这样会很快产生问题. 可以考虑的问题包括
"交叉弹奏"对公司来说可能是个危害, 即刻无法确认. 它可以同时影响企业和客户, 同时都可以使用恶意软件.
人们很不幸地发现,在2018年的圣诞市场中出现了一个创作交叉摄制剧本的可悲例子,因为人们越来越喜欢用不同的材料制成人们的作品, die als ‚Magecart‘ bekannt wurde. Die Malware nutzte eine Schwachstelle 通过注射被褥注射毒品. 这是我头一次看到这种规模这么大的袭击. 用户的信用卡信息很可能被上传和出售至用户控制的服务器上,或用于欺诈性目的.
"越野弹片攻击"一般属于以下两种类型.
即时显示的xss攻击使用一个薄弱的网页记录文件。. h. 是互相破解黑剧本, 然后从目标网页浏览器发出追踪令, um dann das Ziel anzugreifen. 因为黑板是客户自己发的是通过天真而脆弱的服务器发送的, 实际上,这种攻击又被形容为“非坚定不动的”.
攻击者可以将xss转换为URL, die ein kleines, 将恶意的脚本发到网站浏览, 使用XSS可用的搜索功能:
http://anfaellige-website.com/search?search_term=””
攻击者必须保证目标拥有他们浏览器里的URL. 可以通过导出链接邮件(包括一块可信的土壤)来实现, 用户为什么要按URL, 不要破译, wo Benutzer sie anklicken.
当目标点击链接, 因此,接受“如是”查询参数, 目标的价值将会很重要, 因此你上了脸面网站.尽管里面的值是邪恶的.
现在显示的是搜索功能, 像搜索网站那样, wenn ein Benutzer etwas sucht, ein Suchfeld wie „Suche nach...“ an, 尽管如此,由于特殊网站没有将基准利率调整为, 你就会把它注入网页里面, 通过目标浏览器锁定的, 待会在浏览器上出售.
Wie der Name andeutet, 这将持续的xss攻击保存在脆弱的服务器上. 不像反射性攻击, 它通过发送反目的的指令, 易受影响网站或网络应用程序的用户可能在与易受影响网站/应用互动时被攻击.
xss攻击的一个简单例子可能是袭击者, 他在论坛上发消息, 被发送到脆弱的网站. Statt des üblichen, 条款书的签署的签署但这一消息含有攻击者恶毒的手稿. 如果使用者是指栏码, 他的网络浏览器上传相关的剧本执行.
Wie Sie erkennen können, 在这些人中也不一样, dass persistente XSS-Angriffe in allen Benutzern 易受攻击的网站和应用程序.
另一种以域名为基本写照的方法是d. h. 弱点就是书本上的那一页, 它总是将用户放在它的网站/App中. 这种攻击和反射和持久的xss攻击不同, 网站/应用程序不会直接将恶意的脚本发送给目标浏览器. 在一次基于域名的攻击中,网站/应用程序有相关的窗口脚本, 把它发送给目标浏览器. 就像以场景为基本写照的攻击一样,以场景为基本写照的攻击不会储存在脆弱的服务器上.
如果以过去为例以场景为基本写照的话,那么根据前页的xss案例可以使用同样的翻译. 用户将导出该恶意脚本为“search_term”,然后将其传送到潜在目标.
Sobald jemand die URL anklickt, 浏览器入侵了网站的搜索功能和脆弱的客户端研究会. 尽管“seach_term”仍被设定为处理该网页的查询参数, 只因不制作病毒注入的网站.
结果是那些容易受影响的网站脚本, 正如前面描述的“d”搜索框的价值。. h. 恶意的剧本可能会取代动态局部位置(即目标浏览器), 用于上传和执行攻击命令的浏览器.
以场景为基本写照的攻击, xss的弱点并不仅仅局限于服务器运行软件.
多了一种越发的越野征服策略, 充分保护自己,并预防未来的问题. Es wird zunehmend schwieriger, Websites streng zu überwachen, 为什麽你越来越复杂了. 袭击事件的频度在今后可能继续上升.
以下建议可帮助保护用户免遭xss的攻击:
Bereinigung der Benutzereingabe:
还需要输入用户输入的密码:
Setzen Sie 市长先生 ein:
你们可以时常用杜尔 搜寻网络上的弱点找出你软件中xss的弱点.