Web世界中潛藏的危機 - 跨網站指令碼(XSS)
互聯網的時代中我們幾乎都離不開網路,那如果能夠對於Web具備基礎的知識,就能夠讓我們在使用網路的過程中提升風險意識,以減少被竊取、盜用的風險,進而保護個人資產,因此多一份知識在身上也就等於多了一份防身的武器,一天學一點,透過微習慣讓我們享受複利的效應。
在前幾篇我們介紹了「同源政策(Same Origin Policy)」與「Web - 跨來源資源共用(CORS)」的基本概念之後,大致上已經了解瀏覽器如何做個守門員,攔截非法的請求/回應,接下來我們就來談談駭客如何繞過「同源政策(Same Origin Policy)」進行跨站腳本攻擊的XSS(Cross-Site Scripting)。
由於Web越來越豐富,許多動畫、特效都能在Web上完成,這些都歸功於Javascript,但也由於可程式化的便利性,導致駭客可以利用這樣的特性,注入有害的腳本,造成資安風險。
為什麼Cross-Site Scripting要簡稱為XSS呢? 因為避免與CSS混淆,因此簡稱為XSS。
試想,當國家與國家之間透過有限度地開放跨來源資源共用(CORS)時,難免存在一些有心人士,繞過政策進行地下活動,就如同現實世界的偷渡、詐騙皆被搬到Web世界運行,而以下將介紹這樣的攻擊類型有哪些? 對我們來說有什麼危害? 我們身為使用者又應該注意什麼呢?
攻擊的類型有哪些?
儲存型(Stored XSS)
這種類型的攻擊方式就是將惡意的指令碼,注入到網站伺服器進行儲存,而當使用者進到駭客注入的功能區塊時,當滿足特定條件(按下按鈕、觀看圖片...)之後觸發惡意腳本,最常見的例子就是留言版了,這是最普遍能夠輸入文字(指令碼)的入口,並且也會被儲存於資料庫中。
- 駭客將惡意代碼寫到網站伺服器儲存的DB。
- 使用者打開網站時,載入惡意程式碼。
- 惡意程式碼竊取個人資訊或者冒充用戶身分進行深層攻擊。
反射型(Reflected XSS)
駭客發送夾帶惡意連結的信件,誘導受害者點擊。
- 受害者點擊後,導至駭客架設的網站。
- 透過連結的參數觸發惡意腳本,進而攻擊、竊取用戶資訊。
有些也會直接夾帶腳本參數如下:
<http://www.domain-1.com/edit?id=><script>alert(1);</script>
可能造成的危害
- 如果攻擊者僅是惡作劇, 撰寫出一個拖垮資源的腳本, 那麼很可能導致我們的瀏覽器無法正常運作, 導致當機狀態。
- 身份被冒用, 進入瀏覽過的網站,盜取重要個人資訊。
- 將使用者瀏覽器導向駭客架設網站, 下載後門程式到使用者電腦。
如何防範?
- 信件中若有可疑的主旨、內文、附件,就盡量不要直接點擊,可以透過後面的掃描工具進行掃描,確認安全無虞之後再進行下一步。
- 假設我們身為網站開發者,應該對這樣的攻擊具有基本的認識,並且於輸入的入口使用過濾套件來避免XSS的注入攻擊,原則上就是不要相信使用者的任何輸入。
- 網站開發者對於Cookie應設定HttpOnly的屬性,避免利用Cookie盜取個人資訊。
- 設定內容安全策略(CSP),明確的定義哪些內容(HTML、圖片...等)可以被加載,這部分後面的篇章會談到。
幫助我們進行掃描的好工具
以下幾個工具可以讓我們發現到可疑連結時,先丟到這邊進行掃描,若確認安全無誤,在進行點擊,而以下的工具網址,避免讀者們擔心,故將原始網址位置輸出,若有疑慮可以自行Google。
資源參考
即將進入廣告,捲動後可繼續閱讀
為什麼會看到廣告
118會員
267內容數
哈囉,我是阿Han,是一位 👩💻 軟體研發工程師,喜歡閱讀、學習、撰寫文章及教學,擅長以圖代文,化繁為簡,除了幫助自己釐清思路之外,也希望藉由圖解的方式幫助大家共同學習,甚至手把手帶您設計出高品質的軟體產品。
留言0
查看全部
你可能也想看
Google News 追蹤
現代社會跟以前不同了,人人都有一支手機,只要打開就可以獲得各種資訊。過去想要辦卡或是開戶就要跑一趟銀行,然而如今科技快速發展之下,金融App無聲無息地進到你生活中。但同樣的,每一家銀行都有自己的App時,我們又該如何選擇呢?(本文係由國泰世華銀行邀約)
今天我會用不同角度帶大家看這款國泰世華CUB
嘿,大家新年快樂~ 新年大家都在做什麼呢?
跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。
然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
在現今數位化的時代,網路攻擊頻率持續上升,其中又以DDoS攻擊最為常見且具破壞性。面對這種威脅,企業如何保護自身的網路資源成為了一大挑戰。CDN(內容傳遞網絡)作為一種有效的防禦工具,不僅能提升網站的性能與用戶體驗,還能大幅降低DDoS攻擊的風險。
在數位化日益深入的今天,駭客網路攻擊成為了各種組織和個人面臨的嚴重挑戰。本文將探討駭客網路攻擊的種類、影響及其防範策略,幫助讀者更好地理解和應對這一重要的安全問題。
什麼是駭客網路攻擊?
駭客網路攻擊是指未經授權的個人或組織通過技術手段,針對計算機系統、網路基礎設施或數據進行的攻擊行為。攻擊者可
在當今數位化的時代,企業資訊安全已經成為了極為重要的議題。隨著科技的不斷進步,網路犯罪的手法也層出不窮,對企業的資訊安全造成了嚴重的威脅。面對這一挑戰,企業應該如何有效地保護自身的資訊安全呢?
我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。
在開發前後端分離架構時,使用兩個不同網域所遇到跨域請求問題。特別是在POST請求時行為差異大,揭示了「簡單請求」與「預檢請求」的關鍵差異。簡單請求不需預檢,但application/json會觸發預檢請求,需透過特定設定解決。分享這篇文章希望幫助開發者有效處理跨域問題。
描述我所瞭解的 Web 攻擊技術
何謂網路攻擊?
駭客透過各種系統漏洞或惡意程式,搭配許多技術和工具進行攻擊。目標是要在企業或個人電腦網路中損害、取得控制權或存取重要的文件和系統。
例如:
XSS(Cross-Site Scripting,跨站腳本攻擊/跨網站指令碼):指網路罪犯透過存在安全
現代社會跟以前不同了,人人都有一支手機,只要打開就可以獲得各種資訊。過去想要辦卡或是開戶就要跑一趟銀行,然而如今科技快速發展之下,金融App無聲無息地進到你生活中。但同樣的,每一家銀行都有自己的App時,我們又該如何選擇呢?(本文係由國泰世華銀行邀約)
今天我會用不同角度帶大家看這款國泰世華CUB
嘿,大家新年快樂~ 新年大家都在做什麼呢?
跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。
然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
在現今數位化的時代,網路攻擊頻率持續上升,其中又以DDoS攻擊最為常見且具破壞性。面對這種威脅,企業如何保護自身的網路資源成為了一大挑戰。CDN(內容傳遞網絡)作為一種有效的防禦工具,不僅能提升網站的性能與用戶體驗,還能大幅降低DDoS攻擊的風險。
在數位化日益深入的今天,駭客網路攻擊成為了各種組織和個人面臨的嚴重挑戰。本文將探討駭客網路攻擊的種類、影響及其防範策略,幫助讀者更好地理解和應對這一重要的安全問題。
什麼是駭客網路攻擊?
駭客網路攻擊是指未經授權的個人或組織通過技術手段,針對計算機系統、網路基礎設施或數據進行的攻擊行為。攻擊者可
在當今數位化的時代,企業資訊安全已經成為了極為重要的議題。隨著科技的不斷進步,網路犯罪的手法也層出不窮,對企業的資訊安全造成了嚴重的威脅。面對這一挑戰,企業應該如何有效地保護自身的資訊安全呢?
我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。
在開發前後端分離架構時,使用兩個不同網域所遇到跨域請求問題。特別是在POST請求時行為差異大,揭示了「簡單請求」與「預檢請求」的關鍵差異。簡單請求不需預檢,但application/json會觸發預檢請求,需透過特定設定解決。分享這篇文章希望幫助開發者有效處理跨域問題。
描述我所瞭解的 Web 攻擊技術
何謂網路攻擊?
駭客透過各種系統漏洞或惡意程式,搭配許多技術和工具進行攻擊。目標是要在企業或個人電腦網路中損害、取得控制權或存取重要的文件和系統。
例如:
XSS(Cross-Site Scripting,跨站腳本攻擊/跨網站指令碼):指網路罪犯透過存在安全