标签: stealing

发布于

Cookie Stealing (XSS) 与 Session Fixation (会话固定) 攻击的原理和防御。

各位观众,大家好!今天咱们来聊聊网络安全里两个让人头疼的小妖精:Cookie Stealing (XSS) 和 Session Fixation (会话固定)。这两个家伙都能偷走你的“通行证”,然后冒充你干坏事。别怕,今天咱们就来扒一扒它们的底裤,看看它们是怎么作案的,以及如何把它们摁在地上摩擦! 一、Cookie Stealing (XSS): “脚本小子”的狂欢 XSS 攻击,全称 Cross-Site Scripting,翻译过来就是“跨站脚本”。听起来挺高大上,其实就是坏人往你浏览的网页里塞了一段恶意代码,这段代码在你浏览器里执行,然后就搞事情了。 1. XSS 的作案手法 XSS 攻击主要分为三种类型: 存储型 XSS (Persistent XSS): 这是最危险的一种。坏人把恶意脚本塞到服务器的数据库里,比如留言板、评论区等等。然后,只要有人访问包含这个恶意脚本的页面,脚本就会执行,受害者遭殃。 举个栗子: 假设有个留言板,你没做任何安全处理。坏人发了一条留言: <script> // 恶意代码:把用户的 Cookie 发送到坏人的服务器 window.loc …

继续阅读“Cookie Stealing (XSS) 与 Session Fixation (会话固定) 攻击的原理和防御。”

发布于

JS `Cookie Stealing` (`XSS`) 与 `Session Fixation` (会话固定) 攻击

各位观众老爷,晚上好!我是今晚的主讲人,咱们今天聊点刺激的,关于网络安全那些事儿。今天的主题是:JS Cookie Stealing (XSS) 与 Session Fixation (会话固定) 攻击。 别害怕,听起来高大上,其实没那么玄乎。咱们用最接地气的方式,把这些攻击的原理、危害以及防御手段,扒个底朝天。 一、Cookie Stealing (XSS):你饼干里的秘密,我来偷! 首先,我们要搞清楚什么是 Cookie。Cookie 这玩意儿,就像网站在你电脑里放的小纸条,上面记着你的身份信息(比如登录状态)。下次你再来,网站一看这纸条,就知道“哦,老熟人!”。 XSS (Cross-Site Scripting),跨站脚本攻击,就是坏人往网站里塞了一段恶意代码(通常是 JavaScript),这段代码就像病毒一样,在你浏览网页的时候悄悄运行,然后偷偷把你的 Cookie 偷走! 1. XSS 的三种类型: 存储型 XSS (Stored XSS): 坏人把恶意代码存到了网站的数据库里。比如,在评论区写了一段包含恶意 JS 代码的评论。以后只要有人浏览这条评论,恶意代码就会执行。 …

继续阅读“JS `Cookie Stealing` (`XSS`) 与 `Session Fixation` (会话固定) 攻击”