一天
网络安全小姐(以下简称CS小姐)“爷爷,我们这次说的是跨站脚本吧?”
爷爷:“是啊,小姐。”
” CS小姐“好听的名字啊!”
爷爷:“小姐,”
Jiiya》跨站脚本布丁不是,跨站脚本很好。”
爷爷:“别被昨天的甜点是巧克力布丁给骗了。”
” CS小姐“嗯,我做了我该做的!”
CS小姐:“不管怎样,这次我要再努力!!”
什么是跨站脚本
爷爷:“跨站脚本是跨站脚本将简写为
CS小姐姐《跨站...如果CSS不是? "
爷爷:“使用缩写 XSS 是因为它可能与构成网站的 CSS(级联样式表)混淆。”
爷爷:“那这是什么攻击?
姬牙:“比如,比如说在一个小姐姐经常使用的公告板上有这样一张表格。”
| 评论 |
|---|
Jiiya:“首先,如果你正常评论↓”
| 评论 |
|---|
| 你好 |
爷爷:“你在留言板上留下‘你好’之类的评论。”
” CS小姐“嗯,没错。”
爷爷:“那如果我输入下面的脚本(*JavaScript 代码)会发生什么?”
| 评论 |
|---|
<script>alert('こんにちは');</script> |
CS小姐姐“不知道”
” Ji-ya “其实这种弹窗会显示在浏览器上。こんにちは
Jii-ya:“如果你不明白,就去谷歌“JavaScript alert”。”
” CS小姐:“不过弹出来也没问题吧?
爷爷:“这个例子只是显示一个弹出窗口。”
“假设您将代码放在将您定向到另一个网站的公告板上。”
” CS小姐“我可能不小心点击了!”
Jiiya:“好吧,即使转换目的地(跨站点)是合法站点,如果嵌入了攻击者设置的恶意命令(脚本)怎么办......?”
CS小姐:“所以我的个人信息可能会被盗!”
爷爷:“不愧是小姑娘,你完全长大了!”
防止跨站点脚本
Jiiya《如何防止跨站脚本》
吉亚:“以下措施是有效的。”
・进行逃生处理
・引入WAF
CS小姐姐:“逃逸处理……就是你做的SQL注入?”
爷爷:“差不多吧。”
吉亚:“比如你可以这样替换↓”< → <> → >
CS小姐姐``那么,在刚才的例子中,应该是这样的吧?↓''
<script>alert('こんにちは');</script>
吉亚:“没错!”
综上所述
爷爷:“怎么样?”
CS小姐姐“我明白了,谢谢爷爷”
吉亚:“从现在开始,我会继续一点一点地学习安全知识。”
爷爷真正的网络安全女士我的目标是
CS小姐“我会努力的!”
--- 第 1 部分结束 ---
参考
插图风格:您可以在这一卷中了解安全的基础知识
信息处理教材信息处理安全支持专家2022版
到上次的概要
网络安全小姐“什么是CIA?”
Cyber Security Lady“什么是Shinseisei......?”
网络安全女士:“什么是漏洞?”
网络安全女士“恶意软件......?你是滑雪服伴侣吗?”
网络安全小姐“饼干?你能吃什么?”
网络安全女士“什么是黑客行动主义者?”
网络安全女士“什么是F5攻击?”
网络安全小姐《什么是 SQL 注入……?》
宣传
网络安全女士系列将是一本薄书! (新写的蚂蚁)
技术书 13在圈子里choco_hack将分布于
(* 线下+线上参与,线下2022/9/11(SUN)@池袋阳光城)
请推特跟着我!
原创声明:本文系作者授权爱码网发表,未经许可,不得转载;
原文地址:https://www.likecs.com/show-308622233.html