php網(wǎng)站如何攻擊 還原一下這次攻擊的過程非持久化的xss和xssphp網(wǎng)站如何攻擊
2022-09-05
xss攻擊的全稱是-Site (XSS)攻擊,是一種注入攻擊。基本方法是向目標網(wǎng)站注入惡意代碼。由于瀏覽器在打開目標網(wǎng)站時不知道哪些腳本是惡意的,因此瀏覽器會胡亂執(zhí)行惡意腳本seo優(yōu)化,導(dǎo)致用戶信息和部分敏感信息被盜、泄露。
xss一般分為持久xss和非持久xss兩種。
持久化xss
以下示例演示了攻擊者如何通過注入惡意代碼來竊取用戶。
假設(shè)攻擊者使用以下惡意代碼在論壇上發(fā)帖
那么當(dāng)其他用戶瀏覽該帖子時,上述代碼將被瀏覽器執(zhí)行,從而將用戶信息發(fā)送到攻擊者構(gòu)建的惡意站點/evil.php?。由于其中包含用戶的一些登錄狀態(tài)和敏感信息,訪問該帖子的用戶將面臨賬號被盜的風(fēng)險。
還原本次攻擊的過程
非持久性xss
上例的攻擊代碼是持久化在數(shù)據(jù)庫中的,非持久化攻擊不需要這個,見下例。
假設(shè)我們有這樣一個錯誤頁面,用php實現(xiàn)
phpprint "Not found: " . urldecode($_SERVER["REQUEST_URI"]);?>
當(dāng)用戶訪問的頁面不存在時,會自動加載上面的頁面,并且“不:”。 ($[""]);這一行會打印出不存在頁面的具體url。
例如當(dāng)用戶訪問該頁面時,由于該頁面不存在,它會自動跳轉(zhuǎn)到該路徑,并在頁面上打印 Not : 字符串。
如果攻擊者構(gòu)造這樣的鏈接誘導(dǎo)用戶訪問,當(dāng)普通用戶訪問該鏈接時網(wǎng)站優(yōu)化,頁面上會打印/作為普通腳本執(zhí)行,這樣如果攻擊者構(gòu)造的腳本中包含的代碼獲取敏感用戶信息php網(wǎng)站如何攻擊,用戶信息將被泄露。
還原本次攻擊的過程
總結(jié)
Xss 攻擊是目前最常見的 Web 攻擊形式。你可以通過上面的例子來看看豹子。核心攻擊方式是惡意代碼注入php網(wǎng)站如何攻擊,瀏覽器會將注入的代碼作為普通腳本執(zhí)行。