安全基础知识

【web安全】Xss Exploits and Defense翻译4

快速回顾

XSS的历史

Ø XSS很早就在网上存在。

Ø 1999年,Georgi GuninskiDavid Ross联合发表了第一篇关于XSS威胁标题为“脚本注入”的论文。

Ø 2005年,第一个广为人知的XSS蠕虫病毒攻击流行社交网站MySpace

Web应用安全

Ø Web互联网上有超过800万网民,100万个网站,每天交易在网上交易数十亿美元。

Ø 各种基于web软件的安全统称为web 应用安全。

Ø Web的流量经常是被防火墙允许的。

Ø XSS尽管是web应用安全的一小部分领域,但是却代表着最大的威胁。

XML 和 AJAX介绍

Ø AJAX是一系列技术用来提高web应用程序的用户体验,提供更好的可用性,和加快访问的速度。

Ø AJAX的核心组件是XMLHttpRequest对象,通过浏览器提供在请求和回复上更强大的控制。

Ø DOM是定义怎么解析XML树结构的一个W3C标准。

常见问题(FAQ

下面的常见问答是用来帮助你更好地理解本章的概念。如果对本章有任何疑问可以浏览www.syngress.com/solutions然后点击“Ask the Author”表单。

QHTML注入和XSS有什么区别?

A他们确切地说是相同的。在某种情况下,攻击者注入有效的HTML标记,然而在其他情况下,攻击者不仅注入HTML标记而且尝试执行一个脚本。

Q有没有一些防病毒软件可以防御XSS攻击?

A没有。防病毒软件防御病毒和恶意代码(可能由XSS漏洞产生)。一些防病毒软件可以检测恶意代码,但是他们不能防御XSS的发生。

QXSS蠕虫会在我系统上传播吗?

AXSS蠕虫影响web应用程序,他们唯一能传播的路径就是利用XSS漏洞。但是,有很多浏览器的BUG可以导致入侵你的系统。在那种情况下,XSS蠕虫利用浏览器bug可以危害你的系统。

QXSS来攻击为危害我没有访问的在线帐号,是真的吗?

A浏览器是你信任网络和不信任网络的中间件。每次你浏览一个网页,你悄悄下载脚本然后在浏览器中的另一个环境执行。这些脚本可以访问内部网络地址然后他们可以在内部网络传播。

Q所有的AJAX应用都存在XSS攻击的漏洞?

A尽管大多数的web应用有XSS问题,但是要理解的是,XSS是由客户端/服务端脚本对用户输入过滤不严格引起的。如果你遵循一个强安全实践,你可以预防XSS从过滤或者转义不希望的字符事件开始。

全国客服电话: 400-001-7880
值班技术:
13330159245

                       

扫一扫,咨询客服