首页 > 其他分享 >1分钟看懂:什么是跨站脚本攻击?

1分钟看懂:什么是跨站脚本攻击?

时间:2023-08-18 10:24:52浏览次数:30  
标签:脚本 XSS 攻击 用户 分钟 访问 页面

跨站脚本攻击,又叫XSS攻击。是指:攻击者将恶意脚本代码嵌入到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,入侵用户账户,窃取用户信息或执行更具危险性的侵犯行为。


XSS攻击有多种攻击类型,其中最为常见、危害最大的就是存储型XSS攻击。


举个栗子吧。


法外狂徒“张三”,在浏览某论坛时,发现了一个漏洞:他可以假装成普通用户提交一条评论,此评论中包含恶意攻击代码,一旦评论提交,恶意代码将被持久化保存到服务器上。


这里的恶意代码为了便于您理解,我们可以把它当成一个“沉默的炸弹”。这个“炸弹”一旦嵌入,将永久地 “藏身” 于这个页面其余的代码中。


假若有用户打开这个页面,法外狂徒”张三“就能轻松访问用户的个人信息和财务数据等等。


所以,无论用户有多谨慎,只要访问了受感染的网页,不需要其他操作,就会在不知不觉中受到攻击。
这就是前面为什么说,这类XSS攻击危害最大的原因了。


照这么说的话,我们岂不是也很难避免这种攻击?只能求神拜佛,让老天爷保佑黑客别盯上我们的网站吗?


当然不是啦!我们可以在系统上线前通过软件安全检测服务,来揪出这些容易被黑客利用的漏洞!从源头把系统薄弱点给补上,这样就能很好地降低类似的安全风险啦。

标签:脚本,XSS,攻击,用户,分钟,访问,页面
From: https://www.cnblogs.com/wanyunsecurity/p/17639689.html

相关文章

  • 30个shell脚本简单示例
    30个简单且常用的LinuxShell脚本命令及示例,有用~~时代Java 2023-08-1807:40 发表于北京↑ 点击上面 “时代Java”关注我们,关注新技术,学习新知识!shell一直是类Unix系统的本地命令行解释器。它已被证明是Unix的主要功能之一,并发展成为一个全新的主题。Linux提供了各......
  • Linux实用运维脚本分享
     编辑Linux实用运维脚本分享......
  • Linux Shell下awk,sed,cut的常用方法并在自动化运维脚本中联合运用
    AWK处理工具,它可以用于提取、处理和格式化文本数据。它的主要功能是逐行扫描文件,并根据匹配模式执行操作。AWK具有以下主要特点:读取和处理文本文件中的数据根据匹配模式执行操作逐行扫描文件打印指定的列在自动化运维脚本中,AWK可以用于处理日志文件,例如提取特定行的数据、从日志文......
  • accesskey_tools:一款针对云环境的多功能利用脚本工具
    一、 关于accesskey_tools"accesskey_tools"是一个基于Python开发的多平台云环境利用辅助脚本。该工具可用于测试中,因开发的不规范,以及一些其它漏洞,拿到泄漏AK/SK的情况下,测试人员可以直接利用这些凭证对云服务器进行测试,及时修复风险并采取相应措施,确保云环境中的敏感凭证不......
  • shell脚本之免交互expect
    目录1.多行重定向2.Expect3.awk数组4.去除重复行实例1.多行重定向cat<<EOF#打印在屏幕上cat<<a.txt#不打印在屏幕上[root@localhost~]#cat<<EOF>HELLO>HI>OK>EOFHELLOHIOK[root@localhost~]#cat<<EOF>test#传给testHELLOHIOKEOF[r......
  • 一分钟快速申请 iOS 证书及描述文件工具
    我们在开发iOS应用中,要用到各样的证书,在开发者中心创建这些证书比较麻烦,最气的是开发者中心的访问速度时快时慢,经常为了创建一个证书花费大量时间,而且也还要Mac电脑钥匙串,下面介绍在Windows环境下不用钥匙串迅速创建iOS各类证书及描述文件的方法。 这里用到一个工具Ap......
  • JScript 脚本中包含别一个文件
    如何在一个Jscript脚本中包含两外的一个Jscript脚本?可以这样做:var tsvar fso = new ActiveXObject( "Scripting.FileSystemObject" );var ForReading = 1;ts = fso.OpenTextFile("c:\\Scripts\\Functions.js", ForReading);s = ts.ReadAll();eval(s);......
  • 在ubuntu中半自动安装搜狗输入法的shell脚本
    总而言之就是用脚本实现了一遍搜狗官网教程中的内容,脚本仅仅在虚拟机环境的ubuntu22中对sogoupinyin_4.2.1.145_amd64.deb测试过,不保证在其他地方还能不能正常运行。脚本启动需要用sudo命令以管理员权限执行,脚本执行完毕并重启电脑后,按Ctrl+空格键调出输入法,按Shift键切换中......
  • Openwrt指定延迟脚本
    在某些情况下,我们需要对指定网络接口指定延迟,以达到我们想要实验的效果延迟。脚本如下:#!/bin/bash##初始化tcqdiscdeldevbr-lanrootecho"1.添加延迟规则2.删除延迟规则"read-p"请选择操作:"choiceif["$choice"=="1"];thenread-p"请输入延迟值(单位......
  • 脚本学习:%cd%和%~dp0的区别
    在编写自动化脚本过程中,经常会需要获取当前目录路径。这里有两种方式,一种是%cd%,另一种是%~dp0,那么这两种方式有什么区别呢?今天就来具体讲一讲。具体含义%cd%:脚本执行的当前目录,需要注意的是,这里的当前目录有可能和脚本实际所在目录不一致。%~dp0%:脚本文件所在的目录,注意,目录的......