来源:自学PHP网 时间:2015-04-16 23:15 作者: 阅读:次
[导读] 在我看来XSS使整个WEB体系变得具有灵性了,早年期间XSS漏洞不流行的时候,随手在某个网站上输入一个, 回显出来就有可能够把局部页面弄乱,这样的WEB站点如同一个没有生命的机器人一...
在我看来XSS使整个WEB体系变得具有灵性了,早年期间XSS漏洞不流行的时候,随手在某个网站上输入一个”>, 回显出来就有可能够把局部页面弄乱,这样的WEB站点如同一个没有生命的机器人一般。 而随着XSS漏洞的不断流行,各种猥琐流思路的不断出现。
程序员的安全意识也逐渐提高,各种过滤机制也不断在完善。 使得国内整体的web体系变得越来越有”智能“的感觉了,仿佛像一个有生命的士兵,和黑客们见招拆招,一攻一防。可以说一个国家网站的XSS防御体系的强弱间接的反映出了这个国家的黑客技术的高低以及黑客圈内的活跃程度。 XSS攻击也应正了安全圈内非常有名的一句话:所有的输入都是有害的。
这句话把XSS漏洞的本质体现的淋漓尽致。 的确,XSS漏洞可出现的点非常多,肉眼看的到的输入,肉眼看不见(例如Flash XSS,某些抓包才看得到的接口)的输入都可能成为XSS漏洞的一个点切入进去,变成一个漏洞,每个点又能展开分为不同的方式去实现、绕过它,这让XSS漏洞瞬息万变,也是XSS攻击的魅力所在。
同时XSS对整个WEB安全来说也是具有重大意义的,可以说如果没有XSS的兴起,那我们就不能像现在如此放心的浏览网站了,而是会担心各种“被中招”: 钓鱼、盗号、蠕虫、恶意广告 等。所以XSS在WEB安全中拥有一个举足轻重的地位。
而XSS对白帽子来说仍是作为各大 *SRC的主要刷分来源之一,由于XSS漏洞的瞬息万变,切入点多,可变性强。
导致了国内大型站点到至今还仍然存在许多XSS漏洞等待着白帽子们去挖掘和探索。加上各大*SRC的奖励机制丰富,所以XSS漏洞让许多白帽子变得更加富有了,哈哈,当然,这并不是无意义的,相反,细节做得好,对整个企业安全打磨来说,才是最有益的。
而对黑产来说,一个大站的XSS则是他们流量的来源,例如一个社交站点的XSS漏洞黑产们能够利用它做非常多的事情,广告植入、信息收集、流量转发甚至是路由劫持等等各种猥琐的想法,没有做不到,只有想不到。 在短时间内能给他们带来相当可观的收益。
总之XSS攻击在现在XSS防御体系越来越完善的节奏下,越来越走向了猥琐之路。
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com