PHP漏洞全解(四)-xss跨站指令碼攻擊【轉】
阿新 • • 發佈:2018-12-24
轉自:https://www.cnblogs.com/pingliangren/p/5586977.html
XSS(Cross Site Scripting),意為跨網站指令碼攻擊,為了和樣式表css(Cascading Style Sheet)區別,縮寫為XSS
跨站指令碼主要被攻擊者利用來讀取網站使用者的cookies或者其他個人資料,一旦攻擊者得到這些資料,那麼他就可以偽裝成此使用者來登入網站,獲得此使用者的許可權。
跨站指令碼攻擊的一般步驟:
1、攻擊者以某種方式傳送xss的http連結給目標使用者
2、目標使用者登入此網站,在登陸期間打開了攻擊者傳送的xss連結
3、網站執行了此xss攻擊指令碼
4、目標使用者頁面跳轉到攻擊者的網站,攻擊者取得了目標使用者的資訊
5、攻擊者使用目標使用者的資訊登入網站,完成攻擊
當有存在跨站漏洞的程式出現的時候,攻擊者可以構造類似 http://www.baidu.com/search.php?key=" method="POST">
跨站指令碼被插進去了
防禦方法還是使用htmlspecialchars過濾輸出的變數,或者提交給自身檔案的表單使用
這樣直接避免了$_SERVER["PHP_SELF"]變數被跨站
管理好自己的情緒,你就是優雅的,控制好自己的心態,你就是成功的。
分類: php