XSS跨站脚本攻击

原创 已于 2023-07-26 17:09:39 修改 · 2.8k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#xss #前端 #安全
于 2022-01-07 16:07:19 首次发布

xss的原理及分类:

xss是攻击者向web页面插入恶意的script代码,当用户或管员访问该页面时,触发script代码,xss攻击是针对用户层面的攻击

反射型xss:又称非持久型xss,需要诱使使用户自己去点击才能触发script代码,一般容易出现在web页面的搜索处

存储型xss:又称为持久型xss,可以将恶意的script代码存储在数据库当中,每当用户打开页面都可以触发,可以多次访问,容易出现在发表文章的地方

DOM型:不经过后端,使通过url传入参数去控制触发的,也是属于反射性xss

常见的xss攻击代码:

<script>alert('hack')</script>

获取用户cookie信息

<script>alert(document.cookie)</script>
οnclick=alert(document.cookie)

cookie和session : 用户凭据:用过凭据可以判断对方的身份信息

cookie:存储在本地 存活时间较长 适用于中小型网站

session:会话 存储于服务器 存活时间较短 适用于大型网站相比于cookie更加安全

演示案例:

这是在我服务器上搭建的pikachu靶场 来进行测试

反射性:通过搜索框发现限制了数据长度,我们可以右键检查代码更改一下,也可以在url中直接输入代码。

存储型:在留言板插入script代码上传,发现每次刷新页面都会弹出弹窗,而反射性就不会只是一次性的

DOM型:随便输入发现有跳转链接,我们按照常规的方式在搜索框插入script代码发现没有被执行,右键检查源代码,发现源代码被过滤,加上单引号给他闭合掉就可以了

XSS(跨站脚本攻击)
guowu666的博客
06-10 3192
xss基础
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
m0_64378913的博客
05-13 2万+
目录1 XSS漏洞简介2 XSS漏洞危害3 XSS漏洞分类3.1 反射XSS3.2 存储XSS3.3 DOMXSS3.3.1 节点树模3.3.2 DOMXSS4 漏洞验证4.1 漏洞验证相关概念4.2 漏洞验证相关概念之间的区别4.3 常见POC5 XSS漏洞验证实例5.1 反射XSS漏洞验证实例5.2 存储XSS漏洞验证实例5.3 DOMXSS漏洞验证实例6 总结参考文章 1 XSS漏洞简介 定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是
常见Web安全漏洞防护
最新发布
qq_26394753的博客
05-01 473
本文系统介绍了Web应用常见安全漏洞及防护方案。主要内容包括:1)OWASP Top 10安全风险概览,重点分析访问控制失效、加密失败、注入等高风险漏洞;2)构建多层次防护体系,涵盖应用层防护(输入验证、输出编码等)、基础设施安全(HTTPS、WAF等)和运维监控;3)详细解析XSS攻击原理与类存储、反射、DOM),提供Spring Security配置方案和HTML转义工具类实现。文章通过图表和代码示例直观展示漏洞原理和防御措施,帮助开发者构建安全可靠的Web应用系统。
XSS跨站脚本攻击)及部分解决方案
Peacock__的博客
12-26 3184
最近做的部门内部用的一个小项目要上线,上线前安全测试测出了存储XSS漏洞,自己也通过这个机会学习了一下,在此记录 1、什么是XSS XSS的中文含义是跨站脚本攻击,Cross Site Scripting,缩写为CSS,但容易与层叠样式表的缩写混淆,所以有人将其缩写为XSS 2、XSS原理 html是超文本标记语言,通过一些字符特殊对待来区分文本和标记,例如:<被看作h...
XSS跨站脚本攻击)详解
jkzyx123的博客
07-12 1万+
XSS是一种常见的安全漏洞,它允许攻击者在受害者浏览器上执行恶意脚本。攻击者通过在网页中注入恶意代码,使得用户浏览该页面时,恶意代码会被执行。
XSS详细讲解
qq_44857938的博客
06-18 2万+
XSS 1.XSS简介 (1)XSS简介 XSS作为OWASP TOP 10之一。 XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。 XSS是一种经常出现在web应用中的计算机大全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站对用
XSS跨站脚本攻击与防御
MzHeader的博客
03-03 9497
XSS跨站脚本攻击与防御 1.什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话:*所有的输入都是有害的...
跨站脚本攻击XSS
凉茶铺的博客
07-26 6377
XSS,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字一直保留下来。(2)页面展示...
跨站脚本攻击XSS演示(burpsuite)
qq_45070118的博客
07-31 4034
XSS简介 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的 通过web站点漏洞,向客户端交付恶意脚本代码,实现对客户端的攻击,事...
跨站脚本攻击XSS)详解
2402_86725606的博客
01-05 2035
跨站脚本攻击XSS,Cross-Site Scripting)是一种通过在网页中注入恶意脚本,攻击用户浏览器的漏洞。攻击者可以利用XSS窃取用户敏感信息、劫持会话、或在受害者浏览器中执行恶意操作。通过及时识别和修复漏洞、使用安全编码实践和部署防御技术,可以有效预防XSS攻击的发生。
xss跨站脚本攻击
maomaoyyds_的博客
08-17 961
XSS跨站脚本攻击是通过向网页注入恶意脚本代码,本文适合零基础要入门xss跨站脚本攻击的朋友们。
XSS漏洞简介、危害与分类及验证
jennycisp的博客
06-27 8426
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS详解
金色%夕阳的博客
07-30 1万+
XSS详解 1. 简介 2. 跨站脚本实例 3. XSS 的危害 4. 分类 4.1 反射XSS(非持久) 漏洞成因 攻击流程 4.2 存储XSS(持久) 漏洞成因 攻击流程 4.3 DOMXSS 漏洞成因 4.4 通用XSS 漏洞成因
什么是XSS
bluemoon_0的博客
02-19 3187
什么是XSS
xss攻击原理与解决方法
热门推荐
套路猿的博客
04-14 8万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
XSS-跨站脚本攻击
qq_64177395的博客
08-16 8709
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS反射也称为非持久,这种类的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
XSS-跨站脚本攻击(非常详细),零基础入门到精通,看这一篇就够了
ewii12567的博客
03-05 4663
跨站脚本攻击(xss),指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的在结束之际,我重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
XSS攻击详解
weixin_47450807的博客
03-01 3万+
本篇博客主要总结一下什么是XSS攻击,并且如何防范XSS攻击。 一、什么是XSS攻击 XSS攻击中文名称为:跨站脚本攻击XSS的重点不在于跨站,而在于脚本的攻击。 XSS攻击的工作原理:攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌套在该页面的代码就会执行,因此会达到攻击用户的目的。 XSS的分类:XSS攻击最主要分为如下几类,反射存储,DOM-based。反射和DOM-based可以归类于非持久性XSS攻击。存储可以归类于持久性XSS攻击。 二、反射
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我像一条狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值