"Web based exploit" 是指基於網路應用程式的漏洞攻擊,也就是利用網站或網路應用程式的安全漏洞進行不合法活動或入侵。這類攻擊通常集中在網站如何處理用戶的請求、訪問其數據庫或處理資料的方式。 are malicious code or behaviors that are used to take advantage of coding flaws in a web application.
跨網站腳本攻擊(Cross-site Scripting,XSS):跨網站腳本攻擊(XSS)是指將惡意代碼插入到脆弱的網站或網絡應用程式的攻擊方式。
跨站腳本攻擊(XSS)通常利用以下哪兩種語言來進行攻擊?
答案是: HTML & JavaScript
類型 | 描述 | 舉例 |
---|---|---|
反射型reflected XSS | sent to server 當惡意腳本通過伺服器的回應激活active during server's response。 | 發送看似可信賴的連結,利用使用者點擊觸發攻擊。 |
儲存型stored XSS | 惡意代碼直接存儲在伺服器上。 | 當用戶訪問受感染的網站時,隱藏的代碼會自動執行。 |
DOM-Based XSS | 惡意腳本可能出現在URL中,例如網站URL包含參數值。 惡意代碼存在於瀏覽器加載的網頁中。 | 利用網址中的參數值來執行攻擊,例如修改 URL 中的參數來插入惡意 JavaScript。 |
項目 | 內容 |
---|---|
運作機制 | - 使用者的輸入沒有得到妥善的驗證和處理,使得惡意腳本得以執行。 |
安全隱患 | - 可竊取用戶的敏感信息(如會話 cookies、地理位置、攝像頭和麥克風等)。 |
防護措施 | - 應用程式需對用戶輸入進行嚴格的驗證和清理,防止注入攻擊。 |
CompTIA+ 考題類型 | 例題1:下列哪一項是跨網站腳本攻擊(XSS)的特徵? A) 直接注入惡意代碼於伺服器上 B) 利用伺服器的回應執行惡意腳本 C) 修改網頁的 DOM 結構 D) 以上皆是 正確答案:D |
類型 | 定義與特徵 | 舉例 | 頻率 |
---|---|---|---|
In-band (傳統classic) | 攻擊與回應透過相同的通道same communication channel 執行及回傳。 | 攻擊零售網站的搜尋框,回傳用戶密碼或其他敏感資料。 | 最常見 |
Out-of-band | 使用不同的different communication channel 通道攻擊與獲取結果。 | 創建一個與攻擊者控制資料庫的連接,以繞過伺服器的安全控制。 | 極少見 |
Inferential | 透過系統行為推斷攻擊結果interpret the results by analyzing the behavior of the system.,而非直接看到結果。 | 利用網站登入表單透過伺服器錯誤信息分析出資料庫結構,進而設計後續攻擊。如果登錄頁面回傳了一個 SQL 錯誤信息 | 常見於高安全性系統 |