网站安全XSS攻击和XXE攻击的理解

        很多客户会问到一些问题,我在这里做一些安全问题上的解答,这一些内容是xxe和xss的区别。首先这俩字母结构上就并不是太像,其次xss全称是Cross Site Scripting,而原先应该叫css,不和重叠样式表的css混淆,所以才改称为xss。中文上说是跨站脚本攻击,而xxe的全称是?

中文上说是XML外部实体注入,外部实体注入技术上一个存在于输入框,一个存在于XML。xss又分为储存型和反射型,其主要目的都是为了获取用户或者是管理员的会话,也就是cookie,还有基于多某的xss以及selfxss,而SARS顾名思义就是自己谈自己,它不会对业务或者是产品造成安全影响,故已经不被定义为安全漏洞了。而多模型的xss严格来说它属于反射型xss,因为他没有将恶意代码储存到数据库内,demo上XSS是基于文档对象模型,想要学习XSS漏洞原理,实现防范以及绕过,还有扫盲跨域等问题,可以看XSS跨站脚本攻击。

从它的目录可以看到它对xss的解释非常的详细,还有其他任意一本的web安全书籍,其实都可以看到xss的身影,因为xss他常年霸榜在漏洞排名,而xxe名为外部实体注入,很明显这是个注入漏洞,通过构造恶意内容,可以导致读取任意文件,执行系统命令,探测内网端口,攻击内网网站等一系列问题,想要学习xxe就得先了解什么是xml,xml是一种可标记扩展语言,它可以用来标记数据定义数据类型是一种允许用户对自己的标记语言进行定义的语言语言。xml的简单易于在任何应用程序中读写数据,这使得xml很快,就成为数据交换的唯一公共语言。虽然不同的应用软件也支持其他的数据交换格式,但不久之后他们都将支持xml,也就意味着程序可以更容易的与windows mos,还有Linux及其他平台下产生的信息结合然后可以很容易加载xml数据到其他的程序中并且去分析它,并以xml格式输出结果。同样的在几乎所有的外部安全书籍中都会提及xxe的漏洞利用与危害,所以只做基础描述,并非专业拓展就不详细讲解。

分享: