首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
Cross-site scripting (XSS) is an application security vulnerability usually found in Web applications. What type of XSS vulnerab
Cross-site scripting (XSS) is an application security vulnerability usually found in Web applications. What type of XSS vulnerab
admin
2013-12-19
69
问题
Cross-site scripting (XSS) is an application security vulnerability usually found in Web applications. What type of XSS vulnerability occurs when a victim is tricked into opening a URL programmed with a rogue script to steal sensitive information?
选项
A、Persistent XSS vulnerability
B、Nonpersistent XSS vulnerability
C、Second-order vulnerability
D、DOM-based vulnerability
答案
B
解析
B正确。跨站脚本攻击(Cross-Site Scripting,XSS)指的是攻击者把他们的恶意代码插入到脆弱网站的攻击行为。当毫无戒备的用户访问受感染的网页时,恶意代码会在受害者的浏览器上执行,并可能导致cookie被盗、会话被劫持、恶意软件被执行、访问控制被绕过或浏览器的漏洞被利用等情况的出现。XSS漏洞主要有三种类型:永久的XSS、非永久的XSS和基于DOM的XSS。当攻击者欺骗受害者打开一个用恶意脚本编写的URL以偷取受害者的敏感信息(比如cookie或会话ID)时,便会出现非永久漏洞(也叫反射漏洞)。这个攻击的原理在于利用了动态网站上缺乏适当的输入或输出验证这一弱点。诸如此类的XSS攻击可能造成大规模破坏。cookie被盗可能导致Web邮件系统受损、博客攻击、银行账户被关闭。大多数钓鱼攻击都是由XSS漏洞引起的。
A不正确。因为永久漏洞针对的是允许将用户输入的数据存储在数据库或类似地方(比如论坛或消息板)的网站。这类攻击的代码能够自动呈现,而无须诱使用户访问第三方网站。克服XSS漏洞的最好方法是培养安全编程习惯。Web应用程序开发人员必须确保过滤每个用户输入。用户输入应该仅仅允许有限的、已知且安全的字符。
C不正确。因为二阶漏洞(second-order Vulnerability)是永久XSS漏洞的另外一个名称,它针对的是允许用户输入存储在数据库上的数据的网站。
D不正确。因为在基于DOM的XSS漏洞中,攻击者使用文件对象模型(Document Object Mode,DOM)环境来修改原始的客户端JavaScript,进而导致受害者的浏览器执行得到的被篡改的JavaScript代码。因此,跨站攻击可以用来发现受害者Web浏览器的漏洞。一旦攻击者成功破解这个系统,他可能会进一步渗入到该网络上的其他系统或者执行可在内部网络上传播的脚本。对客户端而言,防止XSS攻击的最有效方法是禁用浏览器对脚本语言支持。如果这个方法不可行,那么可以使用内容过滤代理服务器。
转载请注明原文地址:https://kaotiyun.com/show/oyhZ777K
0
CISSP认证
相关试题推荐
TheTreasurycouldpocket20millionayearinextrafinesoncethecountry’sspeedcameranetworkisexpanded.Motoringorgani
Individualsandbusinesseshavelegalprotectionforintellectualpropertytheycreateandown.Intellectualproper【C1】______fro
Individualsandbusinesseshavelegalprotectionforintellectualpropertytheycreateandown.Intellectualproper【C1】______fro
[A]Meetingdifferentneeds[B]Smallerisbetter[C]Betterproductmakesgreaterquantity[D]Qualityvsquantity[E]Chillyc
About3billionpeoplelivewithin100milesofthesea,anumberthatcoulddoubleinthenextdecadeashumansflocktocoasta
[A]Thefirststepinpreparingamarketingplanisthatofproducingtheinformationnecessaryfordecision-making.Usually,a
[A]Marketforglasscraftsisgrowing[B]Dependenceofcomputerdevelopmentonglass[C]Behindtheadaptabilityofglass[D]
Itishardtomakemoneypeddlingsocialmediaanywhere.Duringtheirfirstfewyearsinbusiness,FacebookandTwitterlostpo
Writealettertoamuseum’sstafftoaskforsomeinformationaboutahistoricalexhibition.Youshouldincludethedetailsyou
Writeanessayof160-200wordsbasedonthefollowingdrawing.Inyouressay,youshould1)describethedrawingbriefly,
随机试题
A,CD3+、CD4+、CD8-B,CD3+、CD4+、CD8+C,CD19、CD20、CD21、CD22D,CD16、CD56、CD11a/CDl8E,CD3-、CD16+、CD56+临床确定为NK
根据《安全生产法》规定,二级总承包资质施工企业()。
情景描述:某汽车库,建筑面积3999m2,地下一层,层高3.60m,地下汽车库地面标高至室外地面的距离不大于10m。车库可停车101辆,划分一个防火分区,2个防烟分区。车库内人员疏散口2个,设汽车疏散口2个,汽车出入口均设防火卷帘。该汽车库消防供电负荷为二
简述注册税务师代理服务业营业税纳税申报的操作要点。
国际收支平衡是指()的总的收支对比状况。
合伙企业不能清偿到期债务的,债权人可以依法向人民法院提出破产清算申请,也可以要求普通合伙人清偿。()
中国公民王某就职于国内A上市公司,2015年收入情况如下:(1)1月1日起将其位于市区的一套公寓住房按市价出租,每月收取租金3800元。1月因卫生间漏水发生修缮费用1200元,已取得合法有效的支出凭证。(2)在国内另一家公司担任独立董事,3月取得该公司
阅读材料同答问题材料1法治与德治相辅相成。离开德治的法治,犹如缺少滋养的人生,难免导致行为乖张;离开法治的德治,好比缺少规划的生活,虽丰富却凌乱。法治与德治的关系,也就是法律与道德的关系。践行法治重在实施,执法者只有公正执法,不徇私枉法,才能维护法律的
标志着中国的新型政党制度——中国共产党领导的多党合作和政治协商制度的确立的事件是()
PLUSloansareapprovedforsomeparentswhocannotaffordtorepaythem,severalcollegefinancialaidofficersandfinancially
最新回复
(
0
)