什么是跨站攻击?跨站点脚本攻击(也称为XSS)是指利用网站漏洞恶意窃取用户信息的行为。用户通常在浏览网站、使用即时通讯软件甚至阅读电子邮件时单击这些链接。攻击者可以通过在链接中插入恶意代码来窃取用户信息。攻击者通常以十六进制(或其他编码方法)对链接进行编码,以避免用户怀疑其合法性。在收到包含恶意代码的请求后,网站会生成一个包含恶意代码的页面,该页面看起来像是网站应该生成的合法页面。许多流行的留言簿和论坛程序允许用户发布包含HTML和JavaScript的帖子。假设用户a发布了一篇含有恶意脚本的帖子,当用户B浏览该帖子时,恶意脚本将执行并窃取用户B的会话信息,跨站点脚本攻击的三个步骤如下:
1。HTML注入。所有的HTML注入示例都只注入了一个JavaScript弹出警告框:Alert(1)。做坏事。如果您认为警告框不够刺激,当受害者单击注入HTML代码的页面链接时,攻击者可以进行各种恶意操作。
站在用户的角度思考问题,与客户深入沟通,找到尧都网站设计与尧都网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:
网站建设、成都网站制作、企业官网、英文网站、手机端网站、网站推广、
主机域名、
雅安服务器托管、企业邮箱。业务覆盖尧都地区。
3.诱捕受害者。
WhatsApp桌面客户端远程文件访问和代码执行漏洞的影响有多大?
该漏洞是由安全研究人员galweizman和perimeterX联合发现的。美国国家标准与技术研究所(NIST)评估的严重性级别为8.2。
[captionviatechspot
早在2017年,研究人员就发现了更改他人回复文本的问题。魏茨曼意识到,他可以利用富媒体来创建假消息,并将目标重定向到他指定的位置。
安全研究人员进一步证实了这一点,并可以使用JavaScript实现一键式持久跨站点脚本攻击(XSS)。
最终绕过WhatsApp的CPS规则,增强攻击能力,甚至实现远程代码执行。
经过一番挖掘,研究人员意识到这一切都是可行的。因为Facebook提供的WhatsApp桌面应用程序版本正式基于Chrome69的过时版本。
当Chrome78正式发布时,这个问题就暴露了出来,早期版本中使用的JavaScript功能已经修补。
如果WhatsApp将其electronweb应用程序从4.1.4更新为最新版本(7。十、X)发现时,XSS将不再存在。
Facebook称cve-2019-18426漏洞影响0.3.9309之前的WhatsApp桌面客户端和2.20.10之前的iPhone客户端。
有关该漏洞的详细信息,请访问weizman的perimeterx博客文章。
标题名称:跨站攻击的三个主要场景什么是跨站攻击?-创新互联
网页URL:
http://cdkjz.cn/article/ghoes.html
