论XSS攻击方式和防范措施
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
t o i l l u s t r a t e s o me c o mmo n XS S v ul n e r a b i l i t y d e t e c t i o n me t h o d s .S o me p r e v e nt i o n me t h o d s c o n - c e mi n g c o mmo n n e t wo r k u s e r s a nd t h e n e t wo r k ma n a g e me n t t e r mi na l a r e i n t r o d u c e d. Ke y wo r d s: XS S;s a f e t y c o n s c i o u s n e s s ;me a n s o f a t t a c k;p r e v e n t i o n me t h o d
第1 6卷 第 4期 2 0 1 3年 1 0月
西安文理 学院学报 : 自然科学版
J o u na r l o f X i ’ a n U n i v e r s i t y o f A r t s &S c i e n c e ( N a t S c i E d )
V0 1 . 1 6 No. 4
Oc t .2 01 3
文章 编号 : 1 0 0 8 - 5 5 6 4 ( 2 0 1 3 1 0 4 - 0 0 5 3 - 0 5
论X S S攻 击 方 式 和 防范 措 施
张 飞, 朱志祥 , 王 雄
( 西安邮 电大 学 通信技术研究所 , 西安 7 1 0 0 6 1 ) 摘 要: 随着 网络安全问题越来越 突 出, 利用 X S S ( 跨 站脚本 攻击 ) 进 行 网络攻 击 的现象越 来越 显
注人 和 P H P远 程文件 包 含 的漏洞 占据 了 2 0 0 6年 全年 C V E漏洞统 计数 量排 行 榜 的前 三 位 , 三 者 的漏洞 总数 占所有 C V E漏 洞报 告 总数 的 4 5 . 2 %.
1 X S S攻击简介
X S S ( C r o s s S i t e S c r i p t i n g 的简称) 攻击也就是跨站脚本攻击 . 是指恶意攻击者在 We b 脚本 中 h t m l 代 码里插入带有某种 目的的恶意数据 , 当用户点击浏览带有这种恶意数据 的网页时 , 嵌入其 中 We b 里面
著. 通过对 X S S ( 跨站脚本攻击 ) 漏洞 的介绍 , 通过 实例论述一些 常见的 X S S漏洞攻 击的检测方式 , 分别 在普通 网络用户 和网络管理端两个方面论述 了一些相应 防范方法.
关键词 : X S S ; 安全意识 ; 攻击方式 ; 防范方法
中 图分 类 号 : T P 3 9 3 文献标志码 : A
A b s t r a c t : A s n e t w o r k s e c u i r t y p r o b l e ms i n c r e a s e , n e t w o r k a t t a c k s b y u s i n g t h e X S S( c r o s s s i t e s c i r p t i n g )h a v e b e c o m e p r o m i n e n t .T h e v u l n e r a b i l i t y o f X S S i s i n t r o d u c e d .E x a m p l e s a r e c i t e d
随着互联网的快速发展 , 人们的生活和工作方 式都发生着巨大的变化 , 进 入一个飞速的信息化时
代, 但是 由于网络安全跟进缓慢 以及被各大用户的漠视 , 网络安全问题不断的大规模泛滥. 在2 0 0 0年 2
月2 0日, C E R T公 布 了最新 的安全漏洞 , 可影 响所有 的 We b服务 产品 , 这个漏洞被称 为 C r o s s — S i t e S c i r ቤተ መጻሕፍቲ ባይዱ t i n g ( X S S ) ¨ J . 根据 C WE在 2 0 0 7年 5月的统计数据 J , x s s ( c r o s s s i t e s c i r p t i n g , 跨站点脚本 ) 、 S Q L
on XS S At t a c k s a n d P r e v e n t i o n Me a s u r e s
ZHANG F e i ,ZHU Z h i — x i a n g,W ANG Xi o n g
( I n s t i t u t e o f C o m m u n i c a t i o n s T e c h n o l o g y - X i h n U n i v e r s i t y o f P o s t s a n d T e l e c o m mu n i c a t i o n s , X i h n 7 1 0 0 6 1 , C h i n a )
的h t m l 代码会被执行 , 从而达到恶意攻击用户的特殊 目的.
收稿 日期 : 2 0 1 3 05 - - 1 9
作者简介 : 张
飞( 1 9 8 7 一 ) , 男, 陕西子长人 , 西 安邮电大学通信技术研究所硕 士研 究生 , 主要从事信息安全研究 ;
朱 志祥 ( 1 9 5 9 一 ) , 男, 天津人 , 西 安 邮电大 学 通信 技 术 研究 所 教 授 , 博士, 主要 从 事 云计 算 、 信 息安
第1 6卷 第 4期 2 0 1 3年 1 0月
西安文理 学院学报 : 自然科学版
J o u na r l o f X i ’ a n U n i v e r s i t y o f A r t s &S c i e n c e ( N a t S c i E d )
V0 1 . 1 6 No. 4
Oc t .2 01 3
文章 编号 : 1 0 0 8 - 5 5 6 4 ( 2 0 1 3 1 0 4 - 0 0 5 3 - 0 5
论X S S攻 击 方 式 和 防范 措 施
张 飞, 朱志祥 , 王 雄
( 西安邮 电大 学 通信技术研究所 , 西安 7 1 0 0 6 1 ) 摘 要: 随着 网络安全问题越来越 突 出, 利用 X S S ( 跨 站脚本 攻击 ) 进 行 网络攻 击 的现象越 来越 显
注人 和 P H P远 程文件 包 含 的漏洞 占据 了 2 0 0 6年 全年 C V E漏洞统 计数 量排 行 榜 的前 三 位 , 三 者 的漏洞 总数 占所有 C V E漏 洞报 告 总数 的 4 5 . 2 %.
1 X S S攻击简介
X S S ( C r o s s S i t e S c r i p t i n g 的简称) 攻击也就是跨站脚本攻击 . 是指恶意攻击者在 We b 脚本 中 h t m l 代 码里插入带有某种 目的的恶意数据 , 当用户点击浏览带有这种恶意数据 的网页时 , 嵌入其 中 We b 里面
著. 通过对 X S S ( 跨站脚本攻击 ) 漏洞 的介绍 , 通过 实例论述一些 常见的 X S S漏洞攻 击的检测方式 , 分别 在普通 网络用户 和网络管理端两个方面论述 了一些相应 防范方法.
关键词 : X S S ; 安全意识 ; 攻击方式 ; 防范方法
中 图分 类 号 : T P 3 9 3 文献标志码 : A
A b s t r a c t : A s n e t w o r k s e c u i r t y p r o b l e ms i n c r e a s e , n e t w o r k a t t a c k s b y u s i n g t h e X S S( c r o s s s i t e s c i r p t i n g )h a v e b e c o m e p r o m i n e n t .T h e v u l n e r a b i l i t y o f X S S i s i n t r o d u c e d .E x a m p l e s a r e c i t e d
随着互联网的快速发展 , 人们的生活和工作方 式都发生着巨大的变化 , 进 入一个飞速的信息化时
代, 但是 由于网络安全跟进缓慢 以及被各大用户的漠视 , 网络安全问题不断的大规模泛滥. 在2 0 0 0年 2
月2 0日, C E R T公 布 了最新 的安全漏洞 , 可影 响所有 的 We b服务 产品 , 这个漏洞被称 为 C r o s s — S i t e S c i r ቤተ መጻሕፍቲ ባይዱ t i n g ( X S S ) ¨ J . 根据 C WE在 2 0 0 7年 5月的统计数据 J , x s s ( c r o s s s i t e s c i r p t i n g , 跨站点脚本 ) 、 S Q L
on XS S At t a c k s a n d P r e v e n t i o n Me a s u r e s
ZHANG F e i ,ZHU Z h i — x i a n g,W ANG Xi o n g
( I n s t i t u t e o f C o m m u n i c a t i o n s T e c h n o l o g y - X i h n U n i v e r s i t y o f P o s t s a n d T e l e c o m mu n i c a t i o n s , X i h n 7 1 0 0 6 1 , C h i n a )
的h t m l 代码会被执行 , 从而达到恶意攻击用户的特殊 目的.
收稿 日期 : 2 0 1 3 05 - - 1 9
作者简介 : 张
飞( 1 9 8 7 一 ) , 男, 陕西子长人 , 西 安邮电大学通信技术研究所硕 士研 究生 , 主要从事信息安全研究 ;
朱 志祥 ( 1 9 5 9 一 ) , 男, 天津人 , 西 安 邮电大 学 通信 技 术 研究 所 教 授 , 博士, 主要 从 事 云计 算 、 信 息安