Los economistas deberían prestar más atención a la hora de abordar guiones. Aunque los ataques de secuencias de comandos entre sitios rara vez tienen un impacto importante en el servidor, ¡realmente no vale la pena que un sitio tenga tal vulnerabilidad! Pequeño, juega
Pedir algo; o robar las COOKIES del usuario. Es más, se borrará el disco duro del navegador. Un sitio web se ha convertido en un sitio web malicioso. ¿Quién se atreve a venir? Si agregas al webmaster para comparar"
"Es un poco ciego, ¿no es un desastre?
En primer lugar, que todos sepan qué son los scripts entre sitios (muchos se copian, por supuesto, hay una comprensión personal, jaja)
1. (CSS/XSS)?
I
Las secuencias de comandos entre sitios se refieren a datos insertados maliciosamente en el código HTML de una página web remota. El usuario cree que la página es confiable, pero cuando el navegador la descarga, el script incrustado en ella será interpretado y ejecutado. Hoy, se incorporó un script con información de cookies en la página de Tieba, evitando con éxito las restricciones del foro sobre caracteres especiales. Cómo hacer esto se puede ver a continuación.
Sí. A veces, las secuencias de comandos entre sitios se denominan "XSS" porque "CSS" se conoce generalmente como hojas de estilos en capas. Todos los diseñadores de sitios web conocen CSS por su poder. Quizás sea porque me da sueño fácilmente.
Confundido, pero si escuchas a alguien mencionar una vulnerabilidad de seguridad CSS o XSS, generalmente se refiere a secuencias de comandos entre sitios.
2. ¿Cuál es la diferencia entre XSS e inyección de script?
Pero
Sin embargo, no todas las vulnerabilidades que pueden explotarse mediante la inserción de scripts se denominan XSS, porque existe otro método de ataque: "scripting".
Inyección ", es decir, inyección de script o inyección de script, existe una diferencia entre ellas: Sus diferencias son las siguientes: 1). (Los ataques de inyección de script
guardarán los scripts que insertemos en la página web remota modificada, como inyección SQL y XPath.
Inyección. Esto es muy común. Hay como varios. Hace meses, muchos sitios web seguros fueron pirateados debido a vulnerabilidades de inyección en scripts y explotados por algunas personas. 2) Los scripts entre sitios son temporales y desaparecerán después de la ejecución.
Sí. Esto es diferente del XSS/CSS que estamos discutiendo ahora.
De lo que hablamos hoy es de insertar un script en la página para que quien acceda a su navegador lo ejecute. Si no se elimina o edita, siempre existirá.
Entonces, ¿qué tipo de script se puede insertar en la página remota?
Los scripts principales incluyen lo siguiente: HTML JavaScript (este es VBScript Active. Para obtener información detallada sobre la vulnerabilidad, consulte el artículo "Descripción de scripts entre sitios" traducido por Lu Meng Sn0wing.
3. Teoría básica Hablemos primero del ataque de script más simple:
TR representa el marco de la página web y otros caracteres HTML. Primero, encontré un foro CGI para ver sitios CGI desde una perspectiva ASP original. Primero registramos un usuario y completamos el campo de usuario.
Escribir
& gtDespués de enviar el registro de usuario, descubrí que no había ningún mensaje para caracteres ilegales. Lástima, parece haber un ERROR. Una vez completado el registro, al hacer clic en la información, encontrará que la página está deformada, como completar otros campos como país y género.
Ocurrirá el mismo problema y la página no será visible. Así que cambié mi sitio web y lo envié nuevamente
& gt, había mensajes de caracteres ilegales (como los de Xiao Rong). Parece que el sitio web ha sido filtrado
Reemplazo de código
#62; en lugar de mirarlo después del envío, la página anterior se ha deformado nuevamente (por supuesto, la de Xiaorong desapareció). parece así Sin embargo, el mecanismo de filtrado ilegal no es perfecto.
4. Ataques de script simples, como
& gtCuando se debe filtrar el código en formato HTML, prestemos atención a las vulnerabilidades de filtrado UBB.
Debido a que muchos foros y libros de visitas gratuitos ahora utilizan UBB,
debemos prestarle atención. Debido a que mi libro de visitas original se veía así, lo probé y descubrí que tenía tal laguna, así que ahora lo cambié por uno más seguro.
5.UBB es un símbolo de formato utilizado para reemplazar la edición de HTML en foros. Por ejemplo, [b][ /b] se puede reemplazar por
b & gt. Sin embargo, este problema de reemplazo se ha convertido en la mejor opción para los ataques de secuencias de comandos entre sitios. Hablemos primero de algunas etiquetas de uso común, como el filtrado de etiquetas img [
Img] es realmente problemático y un problema de larga data. Los ataques de script contra esta etiqueta son muy populares y hay muchos artículos en línea. Sin embargo, muchos sitios web todavía tienen esta laguna jurídica y algunos nunca se han implementado en absoluto.
Filtrado, especialmente en algunos foros de mensajes gratuitos. Hablando principalmente de problemas de alto nivel: debido al acoso del problema principal de [
Img], muchos sitios web comenzaron a filtrar a una persona sensible. Por ejemplo, campo ja, campo doc, campo wr, etc. o filtrar caracteres. Por ejemplo
Java, documentación, etc. Desde este punto de vista, parece haber muchos menos ataques como este, lo que hace que los ataques entre sitios sean misteriosos y esotéricos, pero aún podemos usar códigos ASCII en su lugar.