跨站腳本攻擊
XSS攻擊介於駭客與使用者之間的攻防戰,並不會對server主機有任何威脅,所以才被稱為跨站腳本攻擊,意思即是:駭客使用某些語言(腳本)跨過主機對使用者進行攻擊。
Cross-Site Scripting中文譯為「跨站腳本攻擊」,簡稱XSS。此乃是駭客利用網站上允許使用者輸入字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意的網站,而受到某種型態的影響。
XSS攻擊介於駭客與使用者之間的攻防戰,並不會對server主機有任何威脅,所以才被稱為跨站腳本攻擊,意思即是:駭客使用某些語言(腳本)跨過主機對使用者進行攻擊。
換句話說,要防止XSS攻擊,修改程式碼為不二法則。最簡單防止XSS的攻擊,必須在使用者輸入欄位加入過濾字串的功能,將『<』、『>』、『%』、『/』、『()』、『&』等符號進行過濾不予輸出至網頁,或限定欄位長度的輸入。
詳見全文:http://security.sinica.edu.tw/infosec-web/viewtopic.php?t=251
................................................................................................................................................................................
相關文章:
Microsoft Anti-XSS (Anti-Cross Site Scripting Library) 避免XSS攻擊
這裡有一份文件,很詳細。建議您一定要看(資料來源:地方政府資通安全服務中心 / www.sss.org.tw)
Cross Site Script漏洞檢測與說明會講義下載:
Http://www.sss.org.tw/downloads/V0911.rar
.....................................................................................................................................................................................
2007十大Web安全漏洞 跨站腳本攻擊XSS居首
http://financenews.sina.com/sinacn/304-000-106-109/2007-07-11/0350496219.html
開放Web軟件安全計劃(Open Web Application Security Project,OWASP)台灣分會今發表2007十大Web安全漏洞,年初曾發生在知名文件閱讀器Adobe Acrobat Reader上的跨站腳本攻擊(Cross Site Scripting,XSS)居首位。
.....................................................................................................................................................................................
跨站腳本攻擊與防禦(簡體中文) http://www.xfocus.net/articles/200607/874.html
所謂跨站腳本漏洞,其實就是Html的注入問題,惡意用戶的輸入,在沒有經過嚴格的控制下,進入了資料庫,最終顯示給來訪的用戶,導致可以在來訪用戶的瀏覽器裏,一執行(瀏覽)Html代碼,資料流程程如下:
惡意用戶的Html輸入—>web程式—>進入資料庫—>web程式—>用戶瀏覽器
這樣我們就可以清楚的看到Html代碼是如何進入受害者瀏覽器的了,我們也就可以根據這個流程來討論跨站腳本的攻擊與防禦了!
.....................................................................................................................................................................................
其他相關文章:
.....................................................................................................................................................................................
http://plog.longwin.com.tw/my-favorite-site/2007/03/17/xss_sql_injection_cheat_sheet_20070317
駭客就是這樣玩弄你的網站,看看這些輸入字串,你的網站是否有過濾呢?
沒有的話,XSS攻擊馬上到... http://ha.ckers.org/xss.html
需要更多資料,可以查詢 Google。關鍵字----跨站腳本攻擊
Microsoft Anti-XSS (Anti-Cross Site Scripting Library) 避免XSS攻擊
相關資訊,請看「資安之眼」的惡意網址列表: http://www.itis.tw/badlink
微軟文件,利用未驗證的使用者資料輸入執行 SQL 資料隱碼攻擊的情況有增加的趨勢
DotBlogs的相關文章,ASP.NET實作IHttpModule介面讓網頁執行時,驗證特定文字,防止SQL Injection
今日值班正妹:http://www.diggirl.net/diggirl/detail.jsp?linkNo=422241
圖片來源:diggirl.net
我將思想傳授他人, 他人之所得,亦無損於我之所有;
猶如一人以我的燭火點燭,光亮與他同在,我卻不因此身處黑暗。----Thomas Jefferson
線上課程教學,遠距教學 (Web Form 約 51hr) https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015
線上課程教學,遠距教學 (ASP.NET MVC 約 140hr) https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab
寫信給我,不要私訊 -- mis2000lab (at) yahoo.com.tw 或 school (at) mis2000lab.net
(1) 第一天 ASP.NET MVC5 完整影片(5.5小時 / .NET 4.x版)免費試聽。影片 https://youtu.be/9spaHik87-A
(2) 第一天 ASP.NET Core MVC 完整影片(3小時 / .NET Core 6.0~8.0)免費試聽。影片 https://youtu.be/TSmwpT-Bx4I
[學員感言] mis2000lab課程評價 - ASP.NET MVC , WebForm 。 https://mis2000lab.medium.com/%E5%AD%B8%E5%93%A1%E6%84%9F%E8%A8%80-mis2000lab%E8%AA%B2%E7%A8%8B%E8%A9%95%E5%83%B9-asp-net-mvc-webform-77903ce9680b
ASP.NET遠距教學、線上課程(Web Form + MVC)。 第一天課程, "完整" 試聽。
......... facebook社團 https://www.facebook.com/mis2000lab ......................
......... YouTube (ASP.NET) 線上教學影片 https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/
Blog文章 "附的範例" 無法下載,請看 https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download
請看我們的「售後服務」範圍(嚴格認定)。
......................................................................................................................................................
ASP.NET MVC => .NET Core MVC 線上教學 ...... 第一天課程 完整內容 "免費"讓您評估 / 試聽
[遠距教學、教學影片] ASP.NET (Web Form) 課程 上線了!MIS2000Lab.主講 事先錄好的影片,並非上課側錄! 觀看時,有如「一對一」面對面講課。