PHP漏洞全解-xss跨站腳本攻擊

XSS(Cross Site Scripting)，意為跨網(wǎng)站腳本攻擊，為了和樣式表css(Cascading Style Sheet)區(qū)別，縮寫(xiě)為XSS

跨站腳本主要被攻擊者利用來(lái)讀取網(wǎng)站用戶(hù)的cookies或者其他個(gè)人數(shù)據(jù)，一旦攻擊者得到這些數(shù)據(jù)，那么他就可以偽裝成此用戶(hù)來(lái)登錄網(wǎng)站，獲得此用戶(hù)的權(quán)限。

跨站腳本攻擊的一般步驟:

1、攻擊者以某種方式發(fā)送xss的http鏈接給目標(biāo)用戶(hù)

2、目標(biāo)用戶(hù)登錄此網(wǎng)站，在登陸期間打開(kāi)了攻擊者發(fā)送的xss鏈接

3、網(wǎng)站執(zhí)行了此xss攻擊腳本

4、目標(biāo)用戶(hù)頁(yè)面跳轉(zhuǎn)到攻擊者的網(wǎng)站，攻擊者取得了目標(biāo)用戶(hù)的信息

5、攻擊者使用目標(biāo)用戶(hù)的信息登錄網(wǎng)站，完成攻擊

當(dāng)有存在跨站漏洞的程序出現(xiàn)的時(shí)候，攻擊者可以構(gòu)造類(lèi)似 http://www.sectop.com/search.php?key= " method="POST">

跨站腳本被插進(jìn)去了

防御方法還是使用htmlspecialchars過(guò)濾輸出的變量，或者提交給自身文件的表單使用

這樣直接避免了$_SERVER["PHP_SELF"]變量被跨站

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]