安基網 首頁 安全 Web安全 查看內容

前端安全以及如何防范詳細介紹

2019-11-3 10:02| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 隨著互聯網的發達,各種WEB應用也變得越來越復雜,滿足了用戶的各種需求,但是隨之而來的就是各種網絡安全的問題。作為前端開發行業的我們也逃不開這個問題。所以今天我就簡單聊一聊WEB前端安全以及如何防范。首先前端攻擊都有哪些形式,我們該如何防范?一、XSS攻擊XSS是一種經常出現在web應用中的計算 ...

隨著互聯網的發達,各種WEB應用也變得越來越復雜,滿足了用戶的各種需求,但是隨之而來的就是各種網絡安全的問題。作為前端開發行業的我們也逃不開這個問題。所以今天我就簡單聊一聊WEB前端安全以及如何防范。

首先前端攻擊都有哪些形式,我們該如何防范?

一、XSS攻擊

XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植 入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻 擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型 的漏洞由于被黑客用來編寫危害性更大的網絡釣魚(Phishing)攻擊而變得廣為人知。

XSS攻擊的危害包括:

1、盜取各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號

2、控制企業數據,包括讀取、篡改、添加、刪除企業敏感數據的能力

3、盜竊企業重要的具有商業價值的資料

4、非法轉賬

5、強制發送電子郵件

6、網站掛馬

7、控制受害者機器向其它網站發起攻擊

XSS攻擊的具體表現:

1、JavaScript代碼注入

下面是代碼的頁面:

這段代碼的作用是把第一個輸入框的字符串,輸出到第二個輸入框,我們輸入1,那么第二個input里的value值就是1,下面是頁面的截圖和源代碼的截圖(這里我輸入下面的代碼來測試)

明顯的可以看到,并沒有彈出對話框,大家可能會疑惑為什么沒有彈窗呢,看看源代碼

我們看到我們輸入的字符串被輸出到第15行input標簽里的value屬性里面,被當成value里的值來顯現出來,所以并沒有彈窗,這時候我們該怎么辦呢?聰明的人已經發現了可以在

前面加個">來閉合input標簽。所以應該得到的結果為

成功彈窗了,我們在看看這時的頁面

看到后面有第二個input輸入框后面跟有">字符串,為什么會這樣呢,我們來看看源代碼

解決辦法:目前來講,最簡單的辦法防治辦法,還是將前端輸出數據都進行轉義最為穩妥,雖然顯示出來是有script標簽的,但是實際上,script標簽的左右尖括號(><),均被轉義為html字符實體,所以,便不會被當做標簽來解析的,但是實際顯示的時候,這兩個尖括號,還是可以正常展示的。

2、append的利用

上一小節我們防住了script標簽的左右尖括號,但聰明的黑客們還是想出了好辦法去破解,我們知道,直接給innerHTML賦值一段js,是無法被執行的。比如,


但是,jQuery的append可以做到,究其原因,就是因為jquery會在將append元素變為fragment的時候,找到其中的script標簽,再使用eval執行一遍。jquery的append使用的方式也是innerHTML。而innerHTML是會將unicode碼轉換為字符實體的。

利用這兩種知識結合,我們可以得出,網站使用append進行dom操作,如果是append我們可以決定的字段,那么我們可以將左右尖括號,使用unicode碼偽裝起來,就像這樣--"



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6754761240230232588/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧