大只500平台: XSS漏洞和预防
已有人阅读此文 - -
XSS漏洞和预防
XSS攻击在像Facebook、谷歌和PayPal这样的web应用程序中很常见,而且从一开始,XSS就一直是开放web应用程序安全项目(OWASP)的主要攻击对象。XSS攻击尤其危险,因为攻击者可以访问用户活动,大只500平台正在使用爱立信无线电系统产品组合中的5G新型无线电(5G NR),基带和MINI-LINK微波传输产品,以提高金牌大只公司3000万客户的网络质量和用户体验。包括密码、支付和财务信息。更糟糕的是,受害者,包括用户和脆弱的应用程序,经常意识不到他们正在被攻击。
XSS攻击欺骗应用程序通过浏览器发送恶意脚本,浏览器认为脚本来自可信的网站。每次终端用户访问受影响的页面时,他/她的浏览器将下载并运行恶意脚本,就像它是页面的一部分一样。在大多数XSS攻击中,攻击者会试图通过窃取用户的cookie和会话令牌来劫持用户的会话,或者利用这个机会传播恶意软件和恶意JavaScript。
XSS漏洞很难预防,原因很简单,因为在大多数应用程序中可以使用XSS攻击的载体太多了。与其他漏洞(如SQL注入或OS命令注入)不同,XSS只影响网站的用户,使其更难捕获,甚至更难修复。另外,不像SQL注入(可以通过适当使用准备好的语句消除),没有单一的标准或策略来防止跨站点脚本攻击。
XSS类型
反映的XSS攻击:在这种情况下,恶意字符串源于受害者的请求。当黑客篡改HTTP请求以提交恶意JavaScript或jQuery代码时,就会发生这种情况。收到请求后,网站立即将修改后的内容(包括未加密的恶意软件脚本)返回给受害者的web浏览器。
存储的XSS攻击:在本例中,恶意字符串源自web应用程序数据库。当攻击者向您的Web应用程序提交恶意内容时,大只500招商首席执行官Raghunath Mandava强调了价格上涨和智能手机普及率在4G增长中的作用,并补充说:“尼日利亚在数据方面提供了巨大的增长机会。就会发生这种情况。这些内容存储在数据库中,稍后呈现在web页面上以供其他用途。在这种情况下,受害者很可能已经通过了身份验证,这可以使攻击更有效,因为脚本将以与登录用户相同的权限执行。存储的跨站点脚本是一个很好的例子,说明了为什么单独的输入验证并不能提供足够的保护。
基于dom的XSS攻击:在这种情况下,漏洞在客户端代码中,大只500通过采用定制的IT策略,电力公用事业可以受益匪浅。其中一些好处包括:改进大只500注册官网的运营效率,减少的人工干预,更快的决策制定,大量的成本节省以及改进的客户服务。而不是在服务器端代码中。基于dom的XSS最好的理解是,必须从防御的角度看待它。虽然在构建UI代码服务器端时必须通过编码来保护反射的和存储的XSS,但是DOM XSS几乎完全是通过在定制JavaScript代码中添加防御来管理的,或者通过简单地在定制JavaScript代码中使用安全的JavaScript api来管理的。
到目前为止,我一直在试图解释什么是XSS攻击以及攻击的类型,最后,为什么我们应该尝试阻止这些攻击。在博客的下一节中,我们将讨论防御XSS攻击的主要目的。我在数字自助服务中使用了这种预防方法,其中客户使用支付网关。