南京微信開發
您當前的位置 : 首 頁 > 新聞資訊 > 技術資訊

談談企業軟件開發過程XSS攻擊的那些事

2019-09-09

我們做軟件開發的目的是什么?是為人類提供更便捷、高效、增值的服務。隨著科技的不斷強大和互聯網行業的不斷攀升,小編大膽預測一下未來10-20年我們的生活將會發生翻天覆地的變化,人工、智能、系統、軟件、平臺將會成為我們生活中不可缺少的一部分。


軟件開發.png


之所以這么說,是因為不知不覺中我們已經開始逐漸適 應各種智能化,系統的生活了。生活中我們會大量使用各種生活服務類的APP,工作上我們更是會利用各種軟件系統,像是常見的OA辦公系統、ERP追溯系 統、甚至是財政平臺系統、報稅系統、分銷系統等等等。各行各業為了增加工作效率,提高企業競爭力都會針對各自的行業性定制開發一些軟件和系統。


今天我們要說的就是市場上的各類軟件系統繁多,為什么企業還是越來越偏向于定制型軟件開發?


一:定制型軟件能在更大程度上滿足企業需求,追萬軟件開發公司會完全根據客戶需求量身定制,所以功能上可以說是覆蓋的更加全面,針對性更強。


第二:定制型軟件更加符合企業使用習慣,功能全面,完全是根據企業現有的工作流程來編制的程序,所以用戶通常只需要具備基本的計算機操作知識,就可以使用該軟件,不必進行復雜的指導培訓;


第三:定制型軟件更加符合企業形象,因為是量身定制型,完全是可以將企業的Logo以及文化特點融入進去,雖然是定制型軟件只是在企業內部使用,但是一旦融合了企業文化無形中就加深了員工對企業的凝聚力和忠誠度。


第四:定制型軟件在同行之間更加具有競爭力,這個主 要還是體現在功能針對性上面,同一行業,我相信使用定制型軟件的和使用市場上模板軟件的企業還是有很大差別的,定制軟件因為是量身定做的,所以針對性非常 強,這也是定制軟件大的優點。因為每一款定制軟件的開發都要經過細致的系統分析,同時需要針對不同企業的情況,開發Z適合該企業使用的程序。在開發軟件 的談談企業軟件開發過程XSS攻擊的那些事

隨著互聯網發展,XSS攻擊事件并不局限于在WEB中出現,在企業軟件開發過程也會經常出現,所以提升此類風險尤為重要。


首先我們看看幾個XSS攻擊歷史案例:


新浪微博遭受XX攻擊:http://soft.yesky.com/security/156/30179156.shtml

人人網遭受XSS攻擊:http://www.freebuf.com/articles/6295.html


我們再來了解下什么是XSS攻擊(此段來自百度百科的內容)

“XSS是跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意Script代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的Script代碼會被執行,從而達到惡意攻擊用戶的目的?!?/p>


通過以上解釋非常容易理解攻擊者是如何進行XSS攻擊,其實就是一串javascript代碼,<script>alert("我正在對企業軟件進行XSS攻擊")</script>


當瀏覽器解析到此代碼,而瀏覽器并不知道這些代碼改變了原本程序的意圖,會照做彈出一個信息框。


XSS的危害:很多人認為在網頁中彈出一個框其實也沒什么傷害,殊不知在真正應用中,XSS攻擊可以做很多壞事從而對我們的企業軟件造成非常大的危害

1、竊取網頁瀏覽中的cookie值:特別在我們企業應用軟件中,登錄時,系統會記錄用戶的一些登錄信息,如果未做防護,攻擊者可以通過XSS獲取到用戶的COOKIE,從而對我們的企業軟件造成危害

2、劫持流量實現惡意跳轉:簡單來一句代碼,<script>window.location.href="http://www.zhuiwan.org";</script>,這句話意思是說,將打開的某個頁面實現強制跳轉至我們網站,在2011年新浪事件中就出現這BUG,大家可以百度自行了解。

3、向已開發好的軟件進行惡意代碼植入,http://127.0.0.1/xss/example.php?name=<img src='w.123' onerror='alert("我正在對企業軟件進行XSS攻擊!")'> 我們指定的圖片地址根本不存在也就是一定會發生錯誤,這時候onerror里面的代碼自然就得到了執行。

類似的還有onclick、onmousemove、onmouseover等事件,就不再詳述。

介紹一些危害后,再介紹下XSS攻擊一般分為反射型XSS,又稱非持久型XSS,還有一類是儲存型XSS,也就是持久型XSS

反射型及儲存型以后有機會再跟大家做分享

通過上面給大家介紹的,可以看的出來,XSS攻擊介紹及歷史事件會給我企業軟件及WEB應用帶來非常大的麻煩和不可想像的后果,只有我們防范XSS攻擊,才能避免軟件被攻擊者進行攻擊。


XSS攻擊防御:我們一般是對<script>、<img>、<a>等標簽進行過濾,在對<>里內容進行轉換,這樣使得瀏覽器不會對此類標簽進行解析執行,同時也不會影響到我們軟件的使用效果。另外我們還可以通過對參數的限制也能起到預防作用。


過程中,需要將管理者的新管理思路或者Z科學的管理模式融入到軟件的數學模型中,這樣不僅提高軟件的科學價值,還給企業帶來巨大的經濟效益。


第五:體現在后期服務上,定制軟件在使用過程中出現 任何問題,由軟件開發商全權負責解決,而且必要的時候會上門處理。對于在調試期內的軟件,可以根據實際應用做一些小范圍的調整,這些都是完全沒有任何問題 的。同時軟件定制完成后,軟件開發商會給客戶提供培訓,詳細介紹軟件如何操作以及使用注意事項,確保需要用到該軟件的工作人員都能熟練操作和使用。南京軟件開發,南京小程序開發,南京微信開發


標簽

Z近瀏覽:

Copyright ? 江蘇小耳朵信息科技股份有限公司 備案號:蘇ICP備19000811號-2 專業從事于南京軟件開發,南京小程序開發,南京微信開發, 歡迎來電咨詢! 企業分站 | 網站地圖