咨询,就免费赠送域名与服务器,咨询热线:18210983909当前位置: 主页 > SEO知识 > SEO优化实战密码 >
内容合作
联系我们
西安SEO网站优化建设公司咨询 建站咨询 西安SEO网站关键词排名优化公司 优化咨询
电话咨询:18210983909
E-mail:15210415824@qq.com
地址: 北京市海淀区尚东数字山谷A区1号楼

黑帽SEO之黑客技术防护跨站脚本漏洞

作者/整理:SEO网站优化 点击量:次 来源:互联网 日期: 2017-04-13

当我们去做外推的时候,正常的外推就是只能留下描述或打开网站看到广告内容,但这样子展示效果并不好,而利用跨站技术,就可以打开网页直接跳转到自己的网站去,更好的提高了网站转换率。

更直接的来说就是,当你去一个高权重论坛发一片帖子。百度收录以后打开帖子会自动跳转到你的网站去,而从网站内打开帖子不会跳转。

黑帽SEO之黑客技术防护跨站脚本漏洞

跨站脚本攻击(Cross-site scripting,通常简称为 XSS)发生在客户端,可被用于进行窃取隐私、

钓鱼欺骗、窃取密码、传播恶意代码等攻击。

XSS 攻击使用到的技术主要为 HTML 和 Javascript,也包括 VBScript 和 ActionScript 等。XSS 攻击对 WEB

服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,

从而对网站也产生了较严重的危害。

XSS 类型包括:

(1)非持久型跨站:即反射型跨站脚本漏洞,是目前最普遍的跨站类型。跨站代码一般存在于链接中,请

求这样的链接时,跨站代码经过服务端反射回来,这类跨站的代码不存储到服务端(比如数据库中)。上面

章节所举的例子就是这类情况。

(2)持久型跨站:这是危害最直接的跨站类型,跨站代码存储于服务端(比如数据库中)。常见情况是某

用户在论坛发贴,如果论坛没有过滤用户输入的 Javascript 代码数据,就会导致其他浏览此贴的用户的浏

览器会执行发贴人所嵌入的 Javascript 代码。

(3)DOM 跨站(DOM XSS):是一种发生在客户端 DOM(Document Object Model 文档对象模型)中的跨站

漏洞,很大原因是因为客户端脚本处理逻辑导致的安全问题。

XSS 的危害包括:

(1)钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注

入钓鱼 JavaScript 以监控目标网站的表单输入,甚至发起基于 DHTML 更高级的钓鱼攻击方式。

(2)网站挂马:跨站时利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶

意网站窗口等方式都可以进行挂马攻击。

(3)身份盗用:Cookie 是用户对于特定网站的身份验证标志,XSS 可以盗取到用户的 Cookie,从而利用

该 Cookie 盗取用户对该网站的操作权限。如果一个网站管理员用户 Cookie 被窃取,将会对网站引发巨大

的危害。

(4)盗取网站用户信息:当能够窃取到用户 Cookie 从而获取到用户身份使,攻击者可以获取到用户对网

站的操作权限,从而查看用户隐私信息。

(5)垃圾信息发送:比如在 SNS 社区中,利用 XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的

目标群。

(6)劫持用户 Web 行为:一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为,监视用户的浏览历史,发送

与接收的数据等等。

(7)XSS 蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施 DDoS 攻击等。

常用的防止 XSS 技术包括:

(1)与 SQL 注入防护的建议一样,假定所有输入都是可疑的,必须对所有输入中的 script、iframe 等字

样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括 HTTP 请求中的 Cookie 中

的变量,HTTP 请求头部中的变量等。

(2)不仅要验证数据的类型,还要验证其格式、长度、范围和内容。

(3)不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。

(4)对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码

等操作,在各处的输出点时也要进行安全检查。

(5)在发布应用程序之前测试所有已知的威胁。

SEO是什么?SEO技术都包含哪些方面 黑帽SEO之新闻源 黑帽SEO与白帽SEO
2017年的SEO的黑帽白帽应该怎么做 黑帽SEO之蜘蛛池建设 什么是黑帽SEO(SEO名词)
SEO的呈现障碍:如何让SEO快速成为 如何自学seo技术? 亦真亦假:技术剖析WordPress黑帽S
黑帽seo技巧-不会被发现的地区劫持 黑帽seo还能这样玩! 长沙SEO讲师屈鲸老师首次公开揭秘
要注意警惕的13个黑帽或灰帽SEO手法 黑帽SEO技术:利用新闻网站垄断上 新型恶意软件的传播方式是怎样的
404notfound是什么意思?404notfound怎么解 如何开微店?微店怎么运作? 网络营销方法是什么?网络营销方
怎么申请域名和空间【图文教程】 sem是什么 怎么辨别互联网陷阱 辨别互联网陷
word文档直接转换成ppt文档的方法 什么是seo? 央视315曝光互动百科 工商局已调查
站长抓紧 调整优化方略 2017年百度 近年来百度搜索引擎算法重大更新 解决网站快照更新缓慢的问题
百度卫星地图,究竟多久更新? 近期百度快照波动以及收录更新不 站长与爱站工具到底哪个更准确?
为什么你的网站百度快照时间不更 网站必做的首页随机调用(百度快照 11种解酒中药汤的制法?孕期准妈妈
网站收录总是首页一篇文章其他页 盘点网站百度快照回档或不更新的 百度对新站只收录首页快照不更新
关于百度快照不更新的问题分析! 互动中弹,百度立马更新删除相关 百度快照更新缓慢的一些个人分析
百度快照不更新怎么办?网上找了 百度官方解答集:为什么蜘蛛天天 怎么让百度快速更新网站快照?
企业网站优化的一些心得 国内外网站安全渗透测试、漏洞扫 搜素引擎抓取规则和用户查询流程