XSS-HTML&javaSkcript&CSS&jQuery&ajax

標籤：安全   事先   瀏覽器   val   css   bubuko   設定   ima   cap   

1、設定不同的樣式列表

  <style> ul.a{list-style-tyrp:circle;}    ul.b{list-style-type:square;}   ul.c{list-style-type:upper-roman;}  ul.d{list-style-type:lower-alpha;}

</style>

<body> <ul class="a"> <li>Coffe</li> <li>Tea</li></ul>  <ul class="b" ><li>Cofee</li><li>Tea</li></ul>   </body>

2、指令碼引擎處理

    簡單的JavaScript 或者 VBScript   <scritp>alert("XSS")</script>嵌入到正常的網頁當中，XSS攻擊就是將非法的JavaScript和VBScript等指令碼注入到使用者的瀏覽的網頁上執行，但是web瀏覽器的本身設定是不安全的的，只是負責處理解釋執行JavaScript等指令碼語言，不會判斷代碼本身對使用者的危害。

 提交的表單資訊進行輸出處理   <form action="XSS.php" method="POST">

                                             請輸入賬戶： <br>

                                        <input type="text" name=name" value="" ></input>

                               <input tyoe="submit"  value="提交" ></input><!---and so on > 然後後面的 處理頁面就是這樣寫的

  

                          <body> <? php echo $_REQUEST[name];?></body>    直接會將賬戶名字輸出到頁面中

或者利用get觸發提交到URL網頁    <script>alert("XSS")</script>

3、反射性XSS

    反射性XSS跨站指令碼 Refelcted Cross -site Scriptting 非持久性 參數型跨站指令碼，主要講惡意的指令碼附加到URL地址參數中

但是反射性的XSS，一般駭客發動跨站指令碼攻擊之前會精心的布置一切，惡意的URl暴露問題，可以通過各種編碼轉換解決。或者使用十進位，十六進位， ESCAPE等編碼形式轉換迷惑客戶。

4、持久性的XSS Persistent Cross-site Scripting 即儲存型跨站指令碼  Stored Cross -site Scripting  此類CSS不需要使用者單擊 特定的URL就能執行跨站指令碼，攻擊者事先將JavaScript代碼上傳或者儲存到伺服器中，受害這瀏覽就會啟動。

 

XSS-HTML&javaSkcript&CSS&jQuery&ajax