白话:XSS攻击(Cross Site Scripting)

最新推荐文章于 2022-12-20 11:07:29 发布
最新推荐文章于 2022-12-20 11:07:29 发布
阅读量1.3k 收藏
点赞数
分类专栏: 白话Web攻击 文章标签: web安全 XSS攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_dream_er/article/details/60795376
版权

XSS攻击是什么?

XSS攻击:跨站脚本攻击(Cross Site Scripting)
为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS

XSS攻击的过程:
这里写图片描述

例子:

表单内容:

<input type="text" name="nick">

当用户输入:

"/><script>alert("haha");</script><!--

当服务端检测用户输入不合法,需要返回提交页面让用户重新输入的时候:

<input type="text" name="nick" value=""/><script>alert("haha");</script><!--">

或者当需要将用户的信息来展示的时候

<p>"/><script>alert("haha");</script><!--</p>

如此造成的结果将是:

这里写图片描述

这个结果看似不是特别严重,但是我们可以将输入再更改一下:
当输入:

<p>"/><script>while(1){alert("haha");}</script><!--</p>

这样的结果将导致弹窗永远无法停止,从而导致页面无法正常加载,用户无法正常操作

如果用户输入其他更具破坏力的脚本,那麼你只要一访问这个网站页面,将会立马中招,简直就是躺着就中枪。

XSS攻击防御

对于这样的攻击,我们应该怎样防御呢?

我们可以知道,之所以会受到这样的攻击,原因是浏览器错将该以文本方式显示的内容,当成代码来执行了,那么有什么可以避免这种错误呢?

最简单的方法就是,将用户输入的内容转义,使其变成浏览器不可执行的文本,转换方式如下:

                < -----> &lt;
                > -----> &gt;
                ' -----> &amp;
                " -----> &quot;

经过转换后,上面输入的内容在保存的时候将为:

前端用户输入:

"/><script>alert("haha");</script><!--

经后台转换后:

&quot;/&gt;&lt;script&gt;alert("haha");&lt;/script&gt;&lt;!--

当前台显示的时候,就如下:

"/><script>alert(“haha”);</script><!–

至此,相信你已经基本了解XSS攻击了,当然,关于XSS攻击更加高级的知识还期待你去深入探索,由于水平有限,这里就不多讲了,有关更多XSS知识,点击:http://netsecurity.51cto.com/art/201408/448305_all.htm

追_梦_者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cross-Site Scripting-跨站脚本攻击
田田云逸的博客
04-28 505
#' onclick=alert('jwt') '</a>闭合后:<a href="#" onclick="alert(1399)">#' onclick='alert(1399)
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
Cross Site Scripting
跨网站脚本(Cross-site scripting)介绍
后端开发
05-27 1509
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意
Web渗透测试-Xss跨站脚本攻击(Cross Site Scripting)
aming小老弟
01-29 4640
Xss通用明文 &&表单劫持 跨站脚本攻击漏洞概念, 漏洞原理和危害, 掌握反射型、存储型XSS漏洞利用方法 每天一个网安开发小技巧——XSS扫描器 – 自动刷SRC w13scan的xss扫描功能进行优化 灵感注入xray所引起的基于语义的扫描技术。 xss扫描之前是w3afxss payload,通常在以下几个部分。 Xsstrike,Xray,Awvs中的检测技巧以及检测参数 XSStrike 先说说Xss
跨站脚本攻击(XSS)分类介绍及解决办法
热门推荐
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全
xss解决方案
u013029883的博客
08-10 1121
XSS介绍 跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻击原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符时,
调查:XSS攻击Web应用程序-研究论文
05-20
XSS攻击是一种注入攻击,其中攻击者在客户端程序的用户端或数据库的服务器端将侵犯性内容注入站点。 恶意代码基本上是JavaScript代码,并且在Web应用程序的输入字段中执行。 XSS攻击的类型为非持久(或反映)的XSS...
前端安全系列:如何防止XSS攻击
01-27
XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜
信息安全技术基础:XSS攻击概述.pptx
11-01
信息安全技术基础
cross_site_scripting.pdf
05-21
cross_site_scripting.pdf
XSS Attacks CROSS SITE SCRIPTING EXPLOITS AND DEFENSE
07-26
目前较好的一本介绍跨站脚本攻击(XSS)的书<br><br>Cross Site Scripting Attacks starts by defining the terms and laying out the ground work. It assumes that the reader is familiar with basic web programming (HTML) and JavaScript. First it discusses the concepts, methodology, and technology that makes XSS a valid concern. It then moves into the various types of XSS attacks, how they are implemented, used, and abused. After XSS is thoroughly explored, the next part provides examples of XSS malware and demonstrates real cases where XSS is a dangerous risk that exposes internet users to remote access, sensitive data theft, and monetary losses. Finally, the book closes by examining the ways developers can avoid XSS vulnerabilities in their web applications, and how users can avoid becoming a victim. The audience is web developers, security practitioners, and managers. <br><br><br>*XSS Vulnerabilities exist in 8 out of 10 Web sites <br><br><br>*The authors of this book are the undisputed industry leading authorities <br><br><br>*Contains independent, bleeding edge research, code listings and exploits that can not be found anywhere else <br>
网络攻击技术(二)——Cross-site scripting
weixin_34306593的博客
01-15 325
1.1.1 摘要       在本系列的第一篇博文中,我向大家介绍了SQL Injection常用的攻击和防范的技术。这个漏洞可以导致一些非常严重的后果,但幸运的是我们可以通过限制用户数据库的权限、使用参数化的SQL语句或使用ORM等技术来防范SQL Injection的发生,接来了要向大家介绍Cross-site scripting(XSS)。       定义:Cross-site scr...
XSS跨站脚本攻击(Cross-site scripting
qq_49841288的博客
07-24 859
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
Cross-SiteScripting(XSS)跨站脚本攻击
打代码的小女孩
01-13 2246
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。 根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。 DOM型的XSS由于其特殊性,常常被分为第三...
跨站脚本攻击(Cross Site Scripting)
Cfoxer的博客
12-20 393
XSS简介,payload介绍
跨站脚本攻击XSS(Cross Site Scripting)总结
野原新之助
01-31 978
XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。
XSS (Cross-Site Scripting;跨站脚本)
今天的风儿甚是喧嚣
07-07 742
XSS常见漏洞及其防御绕过方法
(原创)攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)
weixin_34032621的博客
09-06 408
声明:本文仅供学习研究之用,对于本文提到的某些网站的XSS漏洞,请读者发扬高尚的人道主义精神不要去危害他人,同时希望相应的网站能够尽快修补XSS漏洞。 简介 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同...
cross site scripting
最新发布
03-16
跨站脚本攻击(Cross Site Scripting,简称 XSS)是一种常见的Web安全漏洞,攻击者通过在Web页面中注入恶意脚本,使得用户在浏览页面时受到攻击。攻击者可以利用这种漏洞窃取用户的敏感信息,如账号密码、银行卡号等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值