¿Cuáles son las definiciones, tipos y métodos de defensa de los ataques XSS?
¿Cuáles son los tipos de ataques XSS? Esto es lo que dicen los editores de RazorCloud
Hay tres tipos comunes de ataques XSS: ataques XSS reflejados, ataques XSS basados en DOM y ataques XSS almacenados.
[if !supportLists]1, [endif]Ataque XSS reflejado
El XSS reflejado suele ser un atacante que utiliza una estrategia específica (como el correo electrónico) para atraer a los usuarios a acceder a contenido malicioso. La URL del código. Cuando una víctima hace clic en estos enlaces especialmente diseñados, el código malicioso se ejecuta directamente en el navegador de la máquina de la víctima. Cuando una víctima hace clic en estos enlaces especialmente diseñados, el código malicioso se ejecuta directamente en el navegador de la máquina de la víctima. El XSS reflejado suele aparecer en la barra de búsqueda de un sitio web, en los inicios de sesión de los usuarios, etc., y suele utilizarse para robar clientes o realizar engaños de phishing.
[if !supportLists]2.[endif] Ataque XSS almacenado
El ataque XSS almacenado también se denomina XSS persistente y almacena principalmente código XSS en el servidor (base de datos, memoria, archivo). sistema, etc.) para que no tenga que confirmar el código la próxima vez que solicite la página de destino. Cuando el usuario objetivo accede a la página para obtener datos, el código XSS se cargará y analizará desde el servidor y luego se devolverá al navegador para el análisis y ejecución normal de HTML y JS, y se producirá un ataque XSS. El XSS almacenado suele aparecer en mensajes de sitios web, comentarios, registros de blogs y otras interacciones, donde los scripts maliciosos se almacenan en bases de datos del lado del cliente o del servidor.
[if !supportLists]3.[endif]Ataque XSS tipo DOM
El ataque XSS tipo DOM es un ataque XSS basado en DOM, que implica modificar la estructura DOM del página a través de scripts maliciosos. Ataque puro del lado del cliente. La ejecución de código malicioso se completa en el lado del navegador, lo cual es una vulnerabilidad de seguridad del propio JavaScript del front-end.
¿Cómo defenderse de los ataques XSS?
[if !supportLists]1,[endif] Codifica caracteres específicos en la entrada, como etiquetas html gt;
[if !supportLists]2.[endif] Configure httpOnly para cookies importantes para evitar que el cliente lea la cookie a través de document.cookie establecida por el servidor al comienzo de HTTP.
[if !supportLists]3, no se confiará en [endif] antes de generar parámetros URT, operaciones URLEncode y los valores de los parámetros URL deben tener formato
[if ! supportLists]4, [endif] No utilice Eval para analizar y ejecutar datos o código inciertos. Para el análisis JSON, utilice el método JSON.parse()
[if !supportLists]5, [endif ] La interfaz de backend también debería completar el problema del filtrado de palabras clave.