首页 » 网络文摘 » 浏览内容

如何评价XSS在黑客攻防中的地位或重要性?

529 0 发表评论

在我看来XSS使整个WEB体系变得具有灵性了,早年期间XSS漏洞不流行的时候,随手在某个网站上输入一个”>, 回显出来就有可能够把局部页面弄乱,这样的WEB站点如同一个没有生命的机器人一般。

而随着XSS漏洞的不断流行,各种猥琐流思路的不断出现。

程序员的安全意识也逐渐提高,各种过滤机制也不断在完善。

使得国内整体的web体系变得越来越有”智能“的感觉了,仿佛像一个有生命的士兵,和黑客们见招拆招,一攻一防。可以说一个国家网站的XSS防御体系的强弱间接的反映出了这个国家的黑客技术的高低以及黑客圈内的活跃程度。

XSS攻击也应正了安全圈内非常有名的一句话:所有的输入都是有害的。


这句话把XSS漏洞的本质体现的淋漓尽致。

的确,XSS漏洞可出现的点非常多,肉眼看的到的输入,肉眼看不见(例如Flash XSS,某些抓包才看得到的接口)的输入都可能成为XSS漏洞的一个点切入进去,变成一个漏洞,每个点又能展开分为不同的方式去实现、绕过它,这让XSS漏洞瞬息万变,也是XSS攻击的魅力所在。

同时XSS对整个WEB安全来说也是具有重大意义的,可以说如果没有XSS的兴起,那我们就不能像现在如此放心的浏览网站了,而是会担心各种“被中招”: 钓鱼、盗号、蠕虫、恶意广告 等。所以XSS在WEB安全中拥有一个举足轻重的地位。

而XSS对白帽子来说仍是作为各大 *SRC的主要刷分来源之一,由于XSS漏洞的瞬息万变,切入点多,可变性强。

导致了国内大型站点到至今还仍然存在许多XSS漏洞等待着白帽子们去挖掘和探索。加上各大*SRC的奖励机制丰富,所以XSS漏洞让许多白帽子变得更加富有了,哈哈,当然,这并不是无意义的,相反,细节做得好,对整个企业安全打磨来说,才是最有益的。

而对黑产来说,一个大站的XSS则是他们流量的来源,例如一个社交站点的XSS漏洞黑产们能够利用它做非常多的事情,广告植入、信息收集、流量转发甚至是路由劫持等等各种猥琐的想法,没有做不到,只有想不到。

在短时间内能给他们带来相当可观的收益。

总之XSS攻击在现在XSS防御体系越来越完善的节奏下,越来越走向了猥琐之路。

最后说一句,在知道创宇的kcon v3上,也将有一个关于客户端XSS的挖掘思路的议题)
(PS:kcon上也会上台表演个东西,参会的小伙伴们尽请期待….)

标签:

评论 共 0 条 (RSS 2.0) 发表 评论

  1. 暂无评论,快来抢沙发!

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:477 篇
  • 评论数目:1480 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:25 个
  • 建站日期:2011-02-13
  • 运行天数:2125 天
  • 最后更新:2016-12-6

订阅博客