攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

解决方案: 禁用这些方式。

如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:

RewriteEngine on

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

XSS和脚本注射的区别？

并非任何可利用脚本插入实现攻击的漏洞都被称为XSS，因为还有另一种攻击方式：“Injection”，即脚本注入或者是讲脚本注射，他们之间是有区别的，他们的区别在以下两点：

1、( Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里，如：sql injection,XPath injection.这个很常见，好象前几个月很多安全网站被黑就是因为脚本里存在注入漏洞，而被一些人利用的。

2、跨站脚本是临时的，执行后就消失了。这个就不同于我们现在讨论的XSS/CSS 了，今天讲的是在页面中插入脚本，这样谁来访问谁的浏览器就执行，如果不被删掉或者是修改编辑的话，就一直存在的。

什么类型的脚本可以被插入远程页面？

主流脚本包括以下几种：

HTML

Java

VB

ActiveX

Flash

如何防范XSS跨站攻击？

在你的WEB浏览器上禁用java脚本，具体方法，先打开你的IE的internet选项，切换到“安全”页，有个“自定义”级别，点他出现如下窗口，禁用就可以了。但是好象不太可能，因为一旦禁用，很多功能就丧失了，这个方法是下策。

还有不要访问包含〈〉字符的连接，当然一些官方的URL不会包括任何脚本元素。

如果你的站点程序含论坛，留言板，以及其他程序中含提交数据格式的，没有很好过滤机制，请马上下载升级程序或是停止使用ubb这样的功能，避免造成更多的问题。

跨站脚本执行漏洞的成因，形式，危害，利用方式，隐藏技巧

【漏洞成因】

原因很简单，就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。

【漏洞形式】

这里所说的形式，实际上是指CGI输入的形式，主要分为两种：

1．显示输入

2．隐式输入

其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。

显示输入又可以分为两种：

1． 输入完成立刻输出结果

2． 输入完成先存储在文本文件或数据库中，然后再输出结果

注意：后者可能会让你的网站面目全非！

而隐式输入除了一些正常的情况外，还可以利用服务器或CGI程序处理错误信息的方式来实施。

上一页  [1] [2] [3] [4] 下一页