PHP漏洞全解(三)-xss跨站指令碼攻擊
阿新 • • 發佈:2019-01-30
本文主要介紹針對PHP網站的xss跨站指令碼攻擊。
跨站指令碼攻擊是通過在網頁中加入惡意程式碼,當訪問者瀏覽網頁時惡意程式碼會被執行或者通過給管理員發信息 的方式誘使管理員瀏覽,從而獲得管理員許可權,控制整個網站。
攻擊者利用跨站請求偽造能夠輕鬆地強迫使用者的瀏覽器發出非故意的HTTP請求,如詐騙性的電匯 請求、修改口令和下載非法的內容等請求。
XSS(Cross Site Scripting),意為跨網站指令碼攻擊,為了和樣式表css(Cascading Style Sheet)區別,縮寫為XSS
跨站指令碼主要被攻擊者利用來讀取網站使用者的cookies或者其他個人資料,一旦攻擊者得到這些資料,那麼他就可以偽裝成此使用者來登入網站,獲得此使用者的許可權。
跨站指令碼攻擊的一般步驟:
1、攻擊者以某種方式傳送xss的http連結給目標使用者
2、目標使用者登入此網站,在登陸期間打開了攻擊者傳送的xss連結
3、網站執行了此xss攻擊指令碼
4、目標使用者頁面跳轉到攻擊者的網站,攻擊者取得了目標使用者的資訊
5、攻擊者使用目標使用者的資訊登入網站,完成攻擊
當有存在跨站漏洞的程式出現的時候,攻擊者可以構造類似
http://www.sectop.com/search.php?key=" method="POST">
跨站指令碼被插進去了
防禦方法還是使用htmlspecialchars過濾輸出的變數,或者提交給自身檔案的表單使用
這樣直接避免了$_SERVER[“PHP_SELF”]變數被跨站
注:本文由搜狗安全編輯整理髮布,轉載請註明出處。