Cross-Site Scripting / 跨站腳本攻擊,簡稱XSS

跨站腳本攻擊
XSS攻擊介於駭客與使用者之間的攻防戰,並不會對server主機有任何威脅,所以才被稱為跨站腳本攻擊,意思即是:駭客使用某些語言(腳本)跨過主機對使用者進行攻擊。

 

 

Cross-Site Scripting中文譯為「跨站腳本攻擊」,簡稱XSS。此乃是駭客利用網站上允許使用者輸入字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意的網站,而受到某種型態的影響。

XSS攻擊介於駭客與使用者之間的攻防戰,並不會對server主機有任何威脅,所以才被稱為跨站腳本攻擊,意思即是:駭客使用某些語言(腳本)跨過主機對使用者進行攻擊。

換句話說,要防止XSS攻擊,修改程式碼為不二法則。最簡單防止XSS的攻擊,必須在使用者輸入欄位加入過濾字串的功能,將『<』、『>』、『%』、『/』、『()』、『&』等符號進行過濾不予輸出至網頁,或限定欄位長度的輸入。

詳見全文:http://security.sinica.edu.tw/infosec-web/viewtopic.php?t=251

................................................................................................................................................................................

 

相關文章:

Microsoft Anti-XSS (Anti-Cross Site Scripting Library) 避免XSS攻擊

 

這裡有一份文件,很詳細。建議您一定要看(資料來源:地方政府資通安全服務中心 / www.sss.org.tw

 

Cross Site Script漏洞檢測與說明會講義下載

Http://www.sss.org.tw/downloads/V0911.rar

.....................................................................................................................................................................................

 


2007十大Web安全漏洞 跨站腳本攻擊XSS居首

http://financenews.sina.com/sinacn/304-000-106-109/2007-07-11/0350496219.html

開放Web軟件安全計劃(Open Web Application Security Project,OWASP)台灣分會今發表2007十大Web安全漏洞,年初曾發生在知名文件閱讀器Adobe Acrobat Reader上的跨站腳本攻擊(Cross Site Scripting,XSS)居首位。

..................................................................................................................................................................................... 

跨站腳本攻擊與防禦(簡體中文) http://www.xfocus.net/articles/200607/874.html

所謂跨站腳本漏洞,其實就是Html的注入問題,惡意用戶的輸入,在沒有經過嚴格的控制下,進入了資料庫,最終顯示給來訪的用戶,導致可以在來訪用戶的瀏覽器裏,一執行(瀏覽)Html代碼,資料流程程如下:

惡意用戶的Html輸入—>web程式—>進入資料庫—>web程式—>用戶瀏覽器

這樣我們就可以清楚的看到Html代碼是如何進入受害者瀏覽器的了,我們也就可以根據這個流程來討論跨站腳本的攻擊與防禦了!
 

..................................................................................................................................................................................... 

其他相關文章:

..................................................................................................................................................................................... 

http://plog.longwin.com.tw/my-favorite-site/2007/03/17/xss_sql_injection_cheat_sheet_20070317

 

駭客就是這樣玩弄你的網站,看看這些輸入字串,你的網站是否有過濾呢?

沒有的話,XSS攻擊馬上到... http://ha.ckers.org/xss.html

 

需要更多資料,可以查詢 Google。關鍵字----跨站腳本攻擊

 

Microsoft Anti-XSS (Anti-Cross Site Scripting Library) 避免XSS攻擊

相關資訊,請看「資安之眼」的惡意網址列表: http://www.itis.tw/badlink

微軟文件,利用未驗證的使用者資料輸入執行 SQL 資料隱碼攻擊的情況有增加的趨勢

DotBlogs的相關文章,ASP.NET實作IHttpModule介面讓網頁執行時,驗證特定文字,防止SQL Injection  

 

今日值班正妹:http://www.diggirl.net/diggirl/detail.jsp?linkNo=422241

圖片來源:diggirl.net 

 

我將思想傳授他人, 他人之所得,亦無損於我之所有;

猶如一人以我的燭火點燭,光亮與他同在,我卻不因此身處黑暗。----Thomas Jefferson

線上課程,遠距教學 (Web Form 49hr)  https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015

線上課程,遠距教學 (ASP.NET MVC 75hr)  https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab

ASP.NET MVC線上課程 第一天 免費看 (5.5小時) 

寫信給我,不要私訊 --  mis2000lab (at) yahoo.com.台灣  或  school (at) mis2000lab.net


ASP.NET遠距教學、線上課程(Web Form + MVC)。 第一天課程, "完整" 試聽。 

................   facebook社團   https://www.facebook.com/mis2000lab   ......................

................  YouTube (ASP.NET) 線上教學影片  https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/

 

Blog文章 "附的範例" 無法下載,請看 這裡 ...... https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download

請看我們的「售後服務」範圍(嚴格認定)

......................................................................................................................................................

...................................................................................................................................................... 

[遠距教學、教學影片] ASP.NET (Web Form) 課程 上線了!MIS2000Lab.主講

事先錄製好的影片,並非上課時側錄!   觀看影片時,有如我「一對一」跟您面對面講課

 

ASP.NET MVC 5 線上教學

累積時數約 75小時...... 第一天(5.5小時)完整內容,"免費"讓您評估