Cross-Site Scripting 攻擊

閱讀時間約 1 分鐘
Cross-Site Scripting簡稱XSS,它指的是駭客在網頁裡插入惡意程式碼,當其他user瀏覽該網頁時,惡意網頁程式碼就會被執行。
舉例來說,假如有一個留言板,駭客故意留了一段javascript程式碼,如果這個網站沒有預防,這段程式碼就會被塞到DB裡,下次有user來瀏覽的時候,留言被query出來,而這段js就會被瀏覽器執行了。
以下透過程式碼來模擬:
正常使用的情況下,看起來就是個簡單的留言板。
但是如果我故意留一段js程式碼,然後送出。
這段留言就被塞進DB了:
然後現在我重整這頁,這段js被執行了。
這還不打緊,因為只是show出一段文字而已,但若是改成這樣呢?
這張圖片就會被塞到DB,query出來長這樣:
hack.php長這樣(這邊就簡單收到而已,因為我不想做壞事XD):
這時候就GG了,看起來是一張顯示不出來的圖片而已,其實背後已經把你的cookie資料送到駭客手中了,駭客可以把這些資料儲存起來,cookie可能有敏感資料在裡面,例如你登入的session id,他就可以偽造是你的身分存取網站,這又稱為CSRF攻擊!
下一篇將介紹如何防禦XSS攻擊。
為什麼會看到廣告
avatar-img
21會員
161內容數
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
Vic Lin的沙龍 的其他內容
Connection Pool中文為連線池,是位於DB前面的緩衝區。 假如我們只是要一個簡單的query功能,下了一個簡單的查詢SQL,可是卻花了很多時間執行,而且每次都要花這麼多時間,這樣豈不是很浪費嗎? 然而,花時間的地方可能不是你SQL效能的問題,而是你沒使用connection pool。
以瀏覽www.google.com為例,瀏覽器需先找到www.google.com對應的ip地址,才能得到網頁資料,顯示在瀏覽器中。 那要如何才能找到ip呢? 這邊就要提到DNS(Domain Name System),他是一個資料庫,裡面紀錄了域名跟IP的對應,瀏覽器透過DNS可以找到IP。
結構化資料: 事先定義好每個欄位可以存放什麼資料,這種儲存的資料就是結構化資料。 像是關聯式資料庫中的資料,需要先把table欄位定義好,之後才能儲存資料。 半結構化資料: 無需事先定義好資料欄位,每一筆資料能夠根據需求儲存不同的欄位,因此很有彈性,如JSON, XML等等。 非結構化資料: 未整理
OAuth 2.0 是一個開放標準,允許user授權第三方應用存取該user的私有資料,而無需提供帳密資料給第三方應用。
想從javascript拿到不同源的資料,除了上一篇介紹的CORS,其實還有一個東西叫JSOP,是指透過script tag src的方式繞過同源政策來實現cross origin。
Cross-Origin Resource Sharing 簡稱 CORS,中文為跨來源資源共享。 上一篇提到web瀏覽器有同源政策的限制,而CORS則是一種安全確認機制,讓瀏覽器和伺服器之間能確保安全的進行cross origin資源共享,即若伺服器同意,即可達成跨來源資源共享。
Connection Pool中文為連線池,是位於DB前面的緩衝區。 假如我們只是要一個簡單的query功能,下了一個簡單的查詢SQL,可是卻花了很多時間執行,而且每次都要花這麼多時間,這樣豈不是很浪費嗎? 然而,花時間的地方可能不是你SQL效能的問題,而是你沒使用connection pool。
以瀏覽www.google.com為例,瀏覽器需先找到www.google.com對應的ip地址,才能得到網頁資料,顯示在瀏覽器中。 那要如何才能找到ip呢? 這邊就要提到DNS(Domain Name System),他是一個資料庫,裡面紀錄了域名跟IP的對應,瀏覽器透過DNS可以找到IP。
結構化資料: 事先定義好每個欄位可以存放什麼資料,這種儲存的資料就是結構化資料。 像是關聯式資料庫中的資料,需要先把table欄位定義好,之後才能儲存資料。 半結構化資料: 無需事先定義好資料欄位,每一筆資料能夠根據需求儲存不同的欄位,因此很有彈性,如JSON, XML等等。 非結構化資料: 未整理
OAuth 2.0 是一個開放標準,允許user授權第三方應用存取該user的私有資料,而無需提供帳密資料給第三方應用。
想從javascript拿到不同源的資料,除了上一篇介紹的CORS,其實還有一個東西叫JSOP,是指透過script tag src的方式繞過同源政策來實現cross origin。
Cross-Origin Resource Sharing 簡稱 CORS,中文為跨來源資源共享。 上一篇提到web瀏覽器有同源政策的限制,而CORS則是一種安全確認機制,讓瀏覽器和伺服器之間能確保安全的進行cross origin資源共享,即若伺服器同意,即可達成跨來源資源共享。
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
Thumbnail
幼稚園娃娃車司機朴姜武(黃晸民 飾演),負責所有家務,清潔打掃、洗衣做飯。 把妻子美善(廉晶雅 飾演)照顧的無微不致,美善睡醒,豐盛的早餐已在餐桌上, 姜武盯著她吞下保健藥丸,吃早餐,送她出門上班,雙手奉上便當,還包括搜查隊同事的。 美善一臉不耐煩的接過便當,轉方向盤加速前進時, 姜
Thumbnail
The rise of the cross-chain exchange platform Cce Cash: the future outlook for anonymous transactions With the rapid development of blockchain techno
Thumbnail
With the continuous development of the cryptocurrency market, users have an increasing demand for the free flow of assets between different blockchain
Thumbnail
儘管在全球化OTT平台上K-Contents勢如破竹,許多人可能因為看過《屍戰朝鮮》或《魷魚遊戲》,而選擇繼續嘗試「韓國製造」,但這並不意味著他們會因某位韓國演員的名氣而買單整部作品。
這篇文章描述了對於他人的陌生和無法理解的感受,表達了對於人際關係的迷失和無助。文章通過描述對方無法理解自己的身體感受以及對方對自己的陌生感,表達了自己的無助和懷疑。整篇文章充滿了對於人情世故的疑惑和無奈。
本文介紹了Transformer中的Encoder Decoder與Cross Attention的運作方式以及的應用。涉及self-attention、autoRegressive Decoder、Non-AutoRegressive Decoder、Cross Attention等概念。
Thumbnail
Cross-platform development tools not only streamlines the development process but also significantly reduces costs and time-to-market.
Thumbnail
為了提供更完整的消費金融等服務,科技公司、新創企業等第三方公司將銀行的基礎服務和設施放入建置規劃,結合傳統金融的規範與創新科技的彈性,BaaS(銀行及服務)的需求跟商機應聲而起。創立於2008 年的Cross River Bank,以提供 BaaS 為名,有超過80名合作夥伴,在美國金融界嶄露頭角。
Juxtaposition Cross of Influence(31/41|24/44) 左角度交叉之創始者(31/41|24/44) 「領導」(31)、「縮小」(41)、「理性思考」(24)和「警覺性」(44) 你有很大的影響力,因為你有持之以恆的能力。 這種特質適合你當個代理人、顧問或
你在這裡是為了表達個人的想法。你是為了向我們介紹一種新的觀念。 因為這是個人的表達方式,但對於大家來說,你所說的可能會顯得非常特別。 因此,你內在具備了:重複你所說或所做的能量。 透過這個重複的過程,身邊朋友和家人甚至是陌生人,會開始熟悉你所表達的內容。這種能量就類似像一種潮流。你是一個具備個人能量
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
Thumbnail
幼稚園娃娃車司機朴姜武(黃晸民 飾演),負責所有家務,清潔打掃、洗衣做飯。 把妻子美善(廉晶雅 飾演)照顧的無微不致,美善睡醒,豐盛的早餐已在餐桌上, 姜武盯著她吞下保健藥丸,吃早餐,送她出門上班,雙手奉上便當,還包括搜查隊同事的。 美善一臉不耐煩的接過便當,轉方向盤加速前進時, 姜
Thumbnail
The rise of the cross-chain exchange platform Cce Cash: the future outlook for anonymous transactions With the rapid development of blockchain techno
Thumbnail
With the continuous development of the cryptocurrency market, users have an increasing demand for the free flow of assets between different blockchain
Thumbnail
儘管在全球化OTT平台上K-Contents勢如破竹,許多人可能因為看過《屍戰朝鮮》或《魷魚遊戲》,而選擇繼續嘗試「韓國製造」,但這並不意味著他們會因某位韓國演員的名氣而買單整部作品。
這篇文章描述了對於他人的陌生和無法理解的感受,表達了對於人際關係的迷失和無助。文章通過描述對方無法理解自己的身體感受以及對方對自己的陌生感,表達了自己的無助和懷疑。整篇文章充滿了對於人情世故的疑惑和無奈。
本文介紹了Transformer中的Encoder Decoder與Cross Attention的運作方式以及的應用。涉及self-attention、autoRegressive Decoder、Non-AutoRegressive Decoder、Cross Attention等概念。
Thumbnail
Cross-platform development tools not only streamlines the development process but also significantly reduces costs and time-to-market.
Thumbnail
為了提供更完整的消費金融等服務,科技公司、新創企業等第三方公司將銀行的基礎服務和設施放入建置規劃,結合傳統金融的規範與創新科技的彈性,BaaS(銀行及服務)的需求跟商機應聲而起。創立於2008 年的Cross River Bank,以提供 BaaS 為名,有超過80名合作夥伴,在美國金融界嶄露頭角。
Juxtaposition Cross of Influence(31/41|24/44) 左角度交叉之創始者(31/41|24/44) 「領導」(31)、「縮小」(41)、「理性思考」(24)和「警覺性」(44) 你有很大的影響力,因為你有持之以恆的能力。 這種特質適合你當個代理人、顧問或
你在這裡是為了表達個人的想法。你是為了向我們介紹一種新的觀念。 因為這是個人的表達方式,但對於大家來說,你所說的可能會顯得非常特別。 因此,你內在具備了:重複你所說或所做的能量。 透過這個重複的過程,身邊朋友和家人甚至是陌生人,會開始熟悉你所表達的內容。這種能量就類似像一種潮流。你是一個具備個人能量