XSS(Cross Site Scripting) 跨站腳本攻擊
在可輸入文字的功能中,寫入JavaScript,導致不知情的使用者,載入之後執行危險的JavaScript產生威脅。
想像假如你登入了Facebook,正常取得token,然後讀取到朋友的貼文使用了XSS,他就可以透過JavaScript將你的token送到Facebook要求你加某個人好友,更甚至發文也加入XSS,後面就可怕了,當然你去試試不會成功的,因為Facabook改過了!參考案例,解法是,這種讓使用者輸入的資訊需要Encode處理。
CSRF(Cross-Site Request Forgery)跨站請求偽造
其實上面舉的例子就是CSRF,XSS是塞JavaScript,後面的偽造行為(加某人好友or發文)就是請求偽造,解法是
https://xss-game.appspot.com/
在可輸入文字的功能中,寫入JavaScript,導致不知情的使用者,載入之後執行危險的JavaScript產生威脅。
想像假如你登入了Facebook,正常取得token,然後讀取到朋友的貼文使用了XSS,他就可以透過JavaScript將你的token送到Facebook要求你加某個人好友,更甚至發文也加入XSS,後面就可怕了,當然你去試試不會成功的,因為Facabook改過了!參考案例,解法是,這種讓使用者輸入的資訊需要Encode處理。
CSRF(Cross-Site Request Forgery)跨站請求偽造
其實上面舉的例子就是CSRF,XSS是塞JavaScript,後面的偽造行為(加某人好友or發文)就是請求偽造,解法是
- http method GET禁止用來更新資料
- 避免XSS
- cookie設定為httpOnly(無法使用Web Service)
https://xss-game.appspot.com/
留言
張貼留言
有什麼想法歡迎跟我們分享