当前位置:首页 > 黑客技术 > 正文内容

为什么干流网站无法捕获 XSS 缝隙?

访客4年前 (2021-04-15)黑客技术716

 二十多年来,跨站脚本(简称 XSS)缝隙一直是干流网站的心头之痛。为什么过了这么久,这些网站仍是对此类缝隙束手无策呢?

关于最近 eBay 网站曝出的跨站脚本缝隙,你有什么主意?为什么会呈现这样的漏网之鱼?一个如此大规模的网站,不应该具有牢靠的网关安全技能以阻挠任何情况下的 XSS 进犯么?

即使从上世纪 90 时代开端,跨站脚本缝隙就现已为人们所熟知。时至今日,它仍在贻害为数不少的网站。大多数干流网站,包括谷歌,CNN,PayPal 以及 Facebook,都曾受过 XSS 缝隙的影响。该缝隙也终年呈现在 CWE/SANS 前 25 个最危险的编程过错、OWASP 前 10 个最丧命的 Web 运用安全危险之类的榜单。

XSS 进犯与大多数运用层进犯(比方 SQL 注入进犯)不同,因为它进犯的是运用的用户,而非运用自身或运用服务器。这类进犯会往 Web 运用的内容中注入代码,通常是JavaScript 之类的客户端代码。大多数网站都有许许多多的注入方位,包括搜索框、反应表格,cookie 以及论坛等。凭借 XSS 缝隙,黑客能够盗取数据,操控用户的会话,运转歹意代码,或操作受害用户浏览器中显现的内容。

像 eBay 这样的网站,简直彻底根据用户发生的内容,通常在用户的项目描述部分包括许多活动内容(Active Content),比方 JavaScript 和 Flash。因为网站有必要与用户互动,接纳来自用户的输入、回来数据,这意味着,进犯者也能够直接与网站互动,然后穿破传统的外围安全防护。除非一切用户供给的内容都通过严厉查看,XSS 进犯代码就有或许注入拍卖清单页面,然后影响每个拜访该页面的用户。用户输入的一切内容(表单数据、cookie、邮件、文件、图片等)都应该视为不行信赖,需求阅历查看,删去其间或许被歹意运用的字符与字符串,才干继续履行脚本或传给数据库。

导致 eBay 这样的大网站继续遭到 XSS 进犯的一大原因,是这些网站过于杂乱,实时生成的网页常常会包括许多外部站点的内容。这使得测验阶段,枚举用户与运用交互的一切排列组合变得不太实际,继而导致 XSS 漏网之鱼的呈现。

话虽如此,eBay 竟然没有一套更为严厉的代码查看流程(近几周发现了多个 XSS 缝隙),仍是有些令人吃惊。用于测验 XSS 缝隙的东西其实许多,它们都能在代码上线之前有用查找缝隙。此外,开发者也能够运用安全操控库(比方 OWASP 的企业安全 API 或微软的反跨站脚本库),而不需求自己编写验证查看。并且,比方运转时运用自我维护( RASP )等网关安全技能也有助于检测并防护对 XSS 缝隙的进犯。因而,如此干流的一个大网站(eBay),却没能有用防护如此广为人知的安全缝隙,实在是有些让人绝望。

现在,多样化的进犯手法层出不穷,传统安全解决方案越来越难以应对网络安全进犯。 OneRASP 实时运用自我维护 技能,能够为软件产品供给精准的实时维护,使其免受缝隙所累。想阅览更多技能文章,请拜访OneAPM 官方技能博客。

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106142.html

分享给朋友:

“为什么干流网站无法捕获 XSS 缝隙?” 的相关文章

美团暗语「美团暗语2021」

 昨天,很多网友问小编美团暗语最好的方法是什么?有关美团暗语2021最好的方法是哪种?最新美团暗语2020?根据网民透露的审判细节这篇文章主要介绍了美团暗语,包括美团暗语 据大江网2021年10月20日17:01:48的最新消息,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全...

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡巴斯基实验室【1、2、3】、WatchGuard、Nuvias、FireEye、CyberArk、F...

黑客了解,中国黑客越南网络apt,黑客网站密码破解工具

6.42 · hxxp[://]offlineearthquake[.]com/file//?id=&n=000 进程三:使命履行及实时数据剖析10.61 2019年6月19日,FireEye Endpoint Security设备上收到了缝隙检测警报。 违规应用程序被辨认为Microso...

二手退役62军用望远镜(二手60倍望远镜转让)

并不是真正的军用级别产品,现在绝大部分,北京星河望远镜为您解答:我们,俺以前买过退役俄罗斯的,为满足全天侯使用要求开发成功的高密封。 需要望远镜。早期的军用望远镜,长时间看不头晕.平常旅游观景、如今已经推出军队服役,不会存在,尽管现在的光学技术水平有了很大提高。 宽带增透绿膜镜头,62式8X30望远...

Qq邮箱被黑客攻击怎么办,网络游戏提款难找黑客,电脑被黑客入侵修改开机密码

self.python_version = int(str(entry.name)[6:8])在曩昔的几年里,当局现已开端在冲击暗网中的网络违法活动了,其间包含优待儿童、违禁药品买卖、兵器出售、数据出售、勒索软件和黑客论坛等等。 近年来,大型网络违法商场逐步式微,尤其是在欧洲和美国当局在上一年打掉了...

微信黑客接单网_上海找黑客帮忙

政企单位防备勒索病毒主张从七个方面着手,即及时更新最新的补丁库、根绝弱口令、重要材料定时阻隔备份、进步网络安全基线、坚持软件运用的可信、挑选正确的反病毒软件、树立高档要挟深度剖析与对立才能。 关于Turla,咱们没有发现该安排发作任何严重的结构调整,但咱们的确发现该安排运用了一些要害的植入东西,例如...

评论列表

可难谜兔
3年前 (2022-07-04)

的进犯手法层出不穷,传统安全解决方案越来越难以应对网络安全进犯。 OneRASP 实时运用自我维护 技能,能够为软件产品供给精准的实时维护,使其免受缝隙所累。想阅览更多技能文章,请拜访OneAPM 官方技能博客。

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。