3个月前 (08-04)  网站建设 |   抢沙发  7 
文章评分 6 次,平均分 5.0

博主之前跟大家也算是科普过XSS漏洞的对于网站安全的重要性,也简单讲解过XSS漏洞如何寻找和防范。很多朋友问博主,难道我们用工具找到了XSS漏洞,弹出一个简单的alert框就算是破解了XSS漏洞吗?这又有什么用呢?

答案当然是否定的,博主讲的弹出框只能说明网站存在XSS漏洞,这说明我们应该完善自己的网站安全性。不能让一些不法分子利用这个做坏事。一些朋友可能以为不发分子仅仅是利用XSS对网站进行一些弹框恶搞之类的,如果看文章的你也是这么想,那你就必须把这篇文章看完。博主会从几个方面详解一下XSS漏洞被人利用的危害性。

网站安全防范,利用xss漏洞都能做什么?

一、网站提权

一般在论坛或者个人博客等有留言功能的网站,并且有管理员账号,在线留言处插入xss,打管理员cookie。访问后台页面利用burp suite抓包,修改普通用户为管理员cookie登录后台,实现访问权限。

二、DOS攻击或傀儡机

DOS 攻击常以 Web 应用程序中脆弱的线路或 URL 作为 目标,并向其发送精心设计的数据包或 URL,这样会迫使服务器陷入无限循环或进行 CPU 密集型运算,从而使得它从数据库中大规模加载数据,最终迫使服务器 CPU 超负荷运载以阻止服务器执行其他请求。相当于一个让目标服务器长期进行一个高密集运算的恶意攻击,最后结果是导致站点服务器崩溃。

三、用户权限下操作

这个其实就是上面说的提权,可以提各种权限,危害性非常的大,相当于实现了无账号密码登录的恶意操作,对一些有经济往来的网站危害更是不敢想象。轻则导致多个账号数据不一致,重则导致大量数据丢失或者损坏。

四、针对性挂马

这类攻击的网站一般都是大型的游戏网站,电商平台,qq,京东,淘宝等。利用XSS漏洞来盗取账号信息,游戏装备被卖掉,账户信息被修改等都有可能,目前大量存在的是盗取账号信息打包在黑市售卖。这就是我们为什么经常接到莫名其妙的电话和短信了。

五、实现特殊效果

这类攻击算是比较仁慈的,仅仅利用XSS漏洞来弹出或者展示一些动态广告啊,下载赌博app之类的骗钱广告。并不能直接危害到用户,属于钓鱼犯法。

因此我们从上述几点应该明白:XSS漏洞是不得不防范的,他足矣使你苦心经营的网站一夜之间崩溃。这还是轻的,重要的是对自己的用户损失会更大。我们对自己负责,网站具有一些社会价值的时候就应该对用户负责。

所以我们检测XSS漏洞时,获取了一个input XSS,你仅仅alert出一个小框框。就不要惊呼自己发现了不得了的事情,其实你仅仅只是能弹出一个框,其他的你什么都做不了。即使你能挂些小木马,意义也不是特别的大,因为你不如直接在自己的虚拟主机里做XSS页面发给别人。

博主写此篇文章是想要告诉大家XSS漏洞大于天,千万不要小看这些漏洞,网上的文章举例是用弹框举例的,但是你可千万别认为XSS漏洞也没什么可怕的,就是弹框,能把我网站怎么样嘛?这就大错特错了,如果你有幸看到这篇文章博主也算是给大家纠正下思维定式吧。

 

除特别注明外,本站所有文章均为叶荣添原创,转载请注明出处来自https://www.wzxiaolou.com/357.html

关于

发表评论

表情 格式

暂无评论

切换注册

登录

忘记密码 ?

切换登录

注册

您是第 6579 位访客, 您的IP是:[100.24.125.162]