什么是javascript注入攻击?

JavaScript020

什么是javascript注入攻击?,第1张

Javascript注入攻击指的是通过在网页地址后加JavaScript代码,影响系统运作。

JavaScript注入漏洞能发生作用主要依赖两个关键的动作,一个是用户要能从界面中注入JavaScript到系统的内存或者后台存储系统中;二是系统中存在一些UI会展示用户注入的数据。

比如注入漏洞最常见的就是发生在各种类型的名字中,比如系统中的人名等等,因为名字往往会在各种系统上显示,如果在某个用户输入名字的时候注入了脚本,那么受其影响的各个系统都有发生注入漏洞的风险。

很多网站都有私信或者留言板功能。登录用户可以发表评论或者给其他用户(包括管理员)发送私信。一个最简单的模拟表单如下:

<form action="sendmessage.php" method="post'">

<textarea name="message"></textarea>

<input type="submit" value="send" />

</form>

当用户点击发送时,这条消息会被保存在数据库中指定的数据表中,另一个用户当打开这条消息的时候将看到发送的内容。但是,如果一个恶意攻击者发送的内容包含了一些javascript代码,这些代码用于偷取敏感的cookie信息。当用户打开看到这条消息的时候,恶意的javascript代码就会得到执行,造成敏感cookie信息泄漏。攻击者可以利用获得这些cookie信息进行session hijacking会话劫持,直接以合法用户的身份登录其他用户的账户。

恶意攻击者可以在消息框中加入一下javascript代码:

1、说明你的网页存在漏洞,有人利用你的漏洞修改了你的网页。2、也有可能是你的服务器有其他漏洞,已经是别人的肉鸡了。3、ARP病毒也能在网页中注入代码,但不影响服务器上的源代码。如果是第一种情况,推荐你用AcunetixWebVulnerabilityScanner软件对你的网站进行安全检测,可以根据检测的结果和修改建议对代码进行修改。