来自 防护 2021-10-12 01:14 的文章

海外高防ip_cc防御脚本_超稳定

海外高防ip_cc防御脚本_超稳定

与web浏览器本身一样古老,跨站点脚本(XSS)一直是安全领域的一个持续存在的问题。多年来,它在OWASP前10名和跨站点脚本攻击的新闻报道中的一致出现,使安全问题成为人们关注的焦点。然而,20年后,安全问题仍然是web应用程序最常见的攻击之一,据一致报告,超过70%的网站处于风险之中。 那么,什么是跨站点脚本?我们如何改变作为用户、开发人员和安全专业人员的习惯,以便能够一劳永逸地防止攻击?  什么是XSS&我为什么要关心它? 其核心是,跨站点脚本是动态应用程序中可能存在的一个漏洞,该漏洞允许用户输入而无法控制输出。XSS攻击是一种黑客攻击技术,它可以掠夺应用程序的弱代码,使攻击者能够在受害者不知情的情况下主动发送恶意内容并从受害者那里接收数据。受害者被截获的目的是不让受害者继续进行攻击。与SQL注入(其最终目标是黑客攻击应用程序的后端)等攻击不同,XSS攻击针对的是用户,尽管它们可能对组织造成同样的损害。 跨站点脚本攻击可以发生在任何地方的任何站点上,只要不正确地或未经验证就可以接受用户的输入。跨站点脚本攻击是一种攻击方法,使合法网站回响恶意的可执行代码,然后将这些代码加载到用户的浏览器中。恶意站点可以将合法站点加载到窗口或框架中,然后主要使用JavaScript从合法站点读取和修改数据。 电子商务和银行网站是XSS最具针对性的部分,因为能够读取和修改受害者发送的信息(银行账号、信用卡详细信息等)使这些类型的网站非常适合获得更高的投资回报率。但是,从本质上讲,任何具有动态内容的站点都是XSS的潜在受害者,因为它会影响用户和公司的声誉,跨站点脚本编写是不容忽视的。 跨站点脚本的历史是什么? XSS攻击基本上和web浏览器本身一样古老。1995年,随着第一批浏览器之一Netscape的推出,世界上出现了一种全新的脚本语言LiveScript,后来改名为JavaScript。新语言为开发人员提供了新奇、动态的特性,比如我们都熟悉的、喜欢/讨厌的弹出窗口,以及图像和鼠标滚动的特性。 但这些新功能也让黑客意识到,在网上冲浪时,他们能够使用JavaScript在两个网站之间进行本质上的越界,在一个完全合法的网站内编写恶意网站的脚本,让黑客看到真实网站的情况。 在Netscape出现十年后,我们看到了第一次大规模的跨站点脚本攻击Samy蠕虫。当一个技术先进的17岁的Samy在MySpace上发现了一个XSS漏洞,当时MySpace是最大的社交平台,他想看看这个蠕虫会走多远。由此引发的混乱无疑让萨米感到惊讶,包括MySpace、FBI和安全世界:在MySpace解决这个问题之前,有100万个个人资料被感染,每个人都显示"Samy是我的英雄",并将Samy添加为朋友。为了更好地阅读,萨米对这次袭击的描述实际上还在网上。 自十年前的第一次攻击以来,跨站点脚本在2007年、2010年和2013年的报告中一直稳居OWASP前10名的榜首。在政府、财富500强和最大的科技公司的网站上都发现了XSS漏洞,六种防御ddos攻击的绝招,简而言之,没有人可以真正安全地跨站点编写脚本,特别是在开发过程中,漏洞很容易被重新引入。今天有多少网站仍然受到这些漏洞的影响,让我们拭目以待XSSposed.org网站列表。 有哪些跨站点脚本? 跨站点脚本攻击有三种类型:反射式、存储式和基于DOM,但是由于攻击者使用混合方式来实现不同的恶意效果,因此它们可以相互重叠。 在反射式跨站点脚本(也称为非持久性XSS攻击)中,黑客会找到一个有漏洞的输入字段(登录和搜索字段非常适合这些类型的攻击)的网站,并创建一个精心编制的、似乎来自该网站的URL。因为攻击实际上并没有被存储起来,黑客利用这种技术通过电子邮件、留言板和社交网络传播看起来合法的网址,cc防御测试,分别针对受害者。存储的跨站点脚本攻击(又称持久性XSS)发生在一个站点将恶意用户输入存储在服务器上,并将其返回给下一个用户而没有先进行验证。在持续的攻击中,受害者甚至不需要点击链接就可以成为目标——只要访问恶意网站就足够了。在持续的跨站点脚本攻击中,攻击者的目标通常是窃取受害者的cookie和数据,由于存储的XSS漏洞更难发现,反射攻击是最常见的跨站点脚本攻击。当通过修改DOM(文档对象模型)来执行攻击负载时,就会发生基于DOM的跨站点脚本,DOM允许API访问页面的HTML和XML内容。与客户端脚本不同的是,客户端和服务器端的交叉攻击是不同的。虽然SQL注入漏洞通常是web应用程序中最普遍的漏洞,并在OWASP的前10名中名列前茅,但XSS实际上是当今最普遍的安全问题。 XSS如何影响你的应用? 开发客户机-服务器应用程序的公司和个人应始终假定不可信的客户机可能被黑客控制,并采取措施弥合可能存在的允许不可信输入的任何漏洞。跨站点脚本漏洞呈现以下形状: -窃取浏览器和cookie数据(最常见的目的)-窃取客户数据-窃取用户数据,包括个人识别信息(PII),如信用卡号码、用户名和密码等-将受害者重定向到攻击者的站点,该站点看起来仍然像原始网站的合法子域-在受害者的浏览器上执行操作,充当合法网站-安装XSS代理,DDoS防御市场规模,允许黑客查看和重定向用户行为-账户劫持-键盘记录-破坏CSRF防御-重写/损坏页面的某些部分(尽管这比攻击更麻烦) XSS:11个快速事实 XSS攻击也可以通过第三方小部件和附加组件(包括广告、弹出窗口,甚至RSS提要)发生。特别是在新的社交平台的引入后,0.0的流行尤其是在其他社交论坛的流行。每个月会发现并报告10到25个新的跨站点脚本错误,更多的可能是发现而未报告。XSS攻击的受害者是用户,而不是应用程序(与针对应用程序的SQL注入相反)。研究发现,70%到82%的网站易受跨网站脚本攻击。XSS安全问题能够通过使僵尸网络感染无数用户来帮助传播主要的DDoS攻击。超过70%的现有Web应用防火墙(WAF)规则可以通过跨站点脚本混淆方法绕过。由于跨站点脚本攻击可以获得与SQL注入相同的效果,因此已知黑客更多地依赖于这些低风险和中等风险的漏洞。公司网站子域是跨站点脚本攻击的最大目标之一,因为它们与网站主页的安全级别不同。超过90%的跨站点脚本漏洞会被IT人员和高级用户忽视。黑客还使用跨站点脚本来击败CSRF防御,允许更严重的攻击依赖于伪造的身份验证。 XSS预防步骤:跨站点脚本的注意事项 XSS预防注意事项:点击查看可下载PDF 进一步的跨站点脚本阅读和资源要了解XSS攻击的视频效果,维盟路由器ddos防御,请查看这个电脑爱好者的视频片段。谷歌最近推出了一款XSS游戏,专门用来教开发人员如何查找和修复跨站点脚本问题。Google安全团队定期为XSS问题的发现者支付bug奖金(每个漏洞的最高上限为7500美元),这样它就可以付费玩了!玩黑客游戏,Checkmarx的在线AppSec游戏,ddos攻击高防御服务器,旨在测试你的应用程序黑客技能。问题基于OWASP前10名列表,有大量XSS查询可供查找。网络黑客事件数据库有一个全面的清单,报告了由于输出处理不当而导致的XSS攻击——按攻击日期用漂亮的卡片组织起来。WebGoat项目是OWASP易受攻击的web应用程序,它提供了一个跨站点脚本编写的课程。最后,这里是反射和存储的XSS以及基于DOM的XSS的OWASP XSS预防备忘单。生物最新帖子莎拉冯内古特莎拉负责社交媒体,同时也是切克马克思内容团队的编辑和作家。她的团队揭示了鲜为人知的AppSec问题,并努力推出内容,以激励、激励和教导安全专业人士如何在日益不安全的世界中领先于黑客。