您现在的位置: 弘智首页 > PHP > PHP语法教程 >

xss跨站脚本攻击

时间:2012-10-31 来源:弘智教育 点击: 次
 XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS

  跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。

  跨站脚本攻击的一般步骤:

  1、攻击者以某种方式发送xss的http链接给目标用户

  2、目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接

  3、网站执行了此xss攻击脚本

  4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息

  5、攻击者使用目标用户的信息登录网站,完成攻击

  

\

  当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似 http://www.sectop.com/search.php?key= ,诱骗用户点击后,可以获取用户cookies值

  防范方法:

  利用htmlspecialchars函数将特殊字符转换成HTML编码

  函数原型

  string htmlspecialchars (string string, int quote_style, string charset)

  string 是要编码的字符串

  quote_style 可选,值可为ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默认值ENT_COMPAT,表示只转换双引号不转换单引号。 ENT_QUOTES,表示双引号和单引号都要转换。ENT_NOQUOTES,表示双引号和单引号都不转换

弘智主页 | 弘智介绍 | 培训课程 | XML地图