DVWA Reflected Cross Site Scripting (XSS)

最新推荐文章于 2024-08-23 11:26:45 发布
最新推荐文章于 2024-08-23 11:26:45 发布
阅读量75 收藏
点赞数
文章标签: xss 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75843485/article/details/134091130
版权

三种XSS的概念原理区别

  1. 反射型XSS(Reflected XSS)

    • 概念:反射型XSS发生在用户提交的数据被立即反射到页面上,而不是存储在服务器上。攻击者通过构建包含恶意脚本的URL或表单输入,然后诱使用户访问这些恶意输入,从而触发攻击。

    • 原理:攻击者构建包含恶意脚本的URL,当用户点击这个URL时,恶意脚本被反射到用户的浏览器上执行。

    • 区别:反射型XSS攻击的数据是一次性的,不会存储在服务器上。它通常需要用户交互才能触发攻击,例如,用户点击了一个恶意链接。

  2. 存储型XSS(Stored XSS)

    • 概念:存储型XSS发生在用户提交的数据被存储在服务器上,然后被其他用户访问时触发攻击。攻击者将恶意脚本提交到应用程序,这些脚本随后存储在数据库或文件中,然后被其他用户访问时执行。

    • 原理:攻击者将恶意脚本存储在应用程序的数据库或文件系统中。当其他用户访问包含恶意脚本的页面时,脚本被从服务器检索并执行,从而触发攻击。

    • 区别:存储型XSS攻击的数据被永久性地存储在服务器上,可以被多个用户访问。攻击不依赖于用户点击特定链接,因为恶意脚本已经存储在服务器上。

  3. DOM-based XSS(DOM-based Cross-Site Scripting)

    • 概念:DOM-based XSS是一种特殊类型的XSS,它涉及到JavaScript在客户端(浏览器)中修改DOM树时触发的漏洞。攻击者通常利用JavaScript操作DOM中的数据来触发XSS攻击。

    • 原理:攻击者构建恶意URL或输入,当浏览器执行相关JavaScript代码时,会导致DOM中的数据被恶意修改,从而触发XSS攻击。

    • 区别:DOM-based XSS攻击不一定要求数据存储在服务器上,而是利用客户端的JavaScript操作来触发攻击。这使得检测和预防这种类型的攻击更为复杂。

总的来说,这三种XSS攻击类型的区别主要在于攻击的原理和攻击数据的存储方式。

DVWA

LOW

源码没有经过过滤保护

输入名字可以直接得到响应

 

我们可以直接修改url

 

MEDIUM

源码过滤掉了<script>和空格,我们可以双写绕过

还可以大写绕过

利用其他标签进行绕过 

(1)img(图片插入法)

<img src=1 οnerrοr=alert('xss')>

(2) iframe

 <iframe οnlοad=alert(123456)>

 

HIGH

过滤掉了这些字符

 

/i的意思是大小写通用,所以上述双写和大小写绕过都不行了,但利用其他的标签进行绕过依然可以成功。 

 

2201_75843485
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
(跨脚本攻击)xss简介及三种类型
qq_36760683的博客
05-21 3471
1.简介xss攻击,通常指黑客通过注入"HTML注入",来篡改网页,插入恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。那么什么是xss呢?看看下面的例子~~正常情况下,用户向test提交的数据会显示在页面中,例如:http://127.0.0.1/study/test.php?test=This%20is%20a%20test;http://此时查看页面源代码如图:但是如果提交一...
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
ZL_1618的博客
03-13 1916
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
关于xss三种类型详解
土拨鼠挖洞中的博客
04-12 1万+
一、简介什么是XSS?百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实...
XSS漏洞三大类型
一醉一休的博客
03-03 6663
(1)跨站脚本( Crbss - Site Script ),为了跟层叠样式表( Css )区分开来,简称 xss,它是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种 (2)产生原因: XSS的产生是由于 WEB应用程序对用户输入的过滤不足而产生的,攻击者利用该漏洞把恶意脚本注入到网页之中,当其他用户浏览网页时,就会执行其中的恶意代码。受害用户可能会被窃取cookie 、会话劫持,钓鱼等各种攻击 (3)XSS漏洞常出现的位置:各种留言板,搜索框,备注,反馈意见,评论处等等 (4)pikac
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
dvwa靶场,里面也有xss靶场
09-24
DVWA中的XSS靶场通常包含反射型XSS、存储型XSS和DOM型XSS三个部分,每个部分都有不同级别的难度,让用户逐步理解XSS的原理和防御方法。 2. **数据库连接配置** 在DVWA中,数据库连接信息位于`DVWA-master\config`...
xss-dvwa靶场详情
04-06
dvwa靶场中的xss漏洞详情
DVWA下的XSS
07-25
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全攻击方式,通过在合法网页中注入恶意脚本,当用户浏览这些网页时,恶意脚本会在用户的浏览器中执行,从而实现攻击目的。XSS攻击通常分为两种类型: ...
DVWA靶场搭建与使用
09-02
**DVWA靶场搭建与使用** DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,专门为网络安全专业人员、开发人员和学生设计,用于学习和练习常见Web应用漏洞的识别和利用。它提供了多种安全漏洞的...
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
前端安全XSS攻击
weixin_34381666的博客
02-18 1160
XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-based or local XSS(基于DOM或本地的XSS攻击) Reflected XSS 基于反射的...
什么是 XSS 攻击?XSS 攻击有哪几种类型?
SCUhzs
12-27 3855
作者:代码熬夜敲来源:SegmentFault 思否社区前言:网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。什么是XSS攻击?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击有哪几种类型?常见的XSS攻击有三
整理常见的三种XSS攻击类型
Edon-Du的博客
06-07 2万+
什么是XSS? 简单的说就是没有做好校验,因为前端的用户输入的数据别人可以拦截,然后嵌入一些脚本代码或者其它的而达到不良的结果,有点类似与sql注入的攻击。 百科的一段介绍: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到...
XSS,CSRF,SSRF三种漏洞的区别和共同点
18年3月萌新白帽子
07-03 1万+
以下言论均是个人在学习过程中总结而来,仅代表个人观点,由于博主也是web安全初学者,所以发表的观点很可能会存在一些错误或者有些不严谨的地方,如果您觉得哪里说的不对或者不合适,请随时在下方留言,希望能跟大家能够一起学习、进步,感谢。个人总结:相同点:XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。不同点:XSS是服务器对用户输入的...
前端页面渲染了解xss三种区别
weixin_45647970的博客
03-28 1247
渲染流程 要想理解DOM型的xss首先得先了解前端页面的渲染过程。前端页面接收到服务器返回的html文档后,进行如下的操作。 三种xss区别 先谈谈反射型xss与存储型xss。 形成原因:都是因为服务器没有对用户的输入以及自身输出的数据进行检查、过滤。 区别:它们区别是存储型xss会把数据存入数据库当中。而反射型xss是非持久化的。 利用:例如存储型xss容易出现在留言板中,凡是浏览了此留言板都会受到xss攻击,大量用户cookie被窃取。而反射型xss一般容易出现在搜索页面,它是非持久化的,需要欺骗用
存储型XSS与反射型XSS有什么区别
psiitoy的专栏
10-24 1万+
存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。如:人人网又一大波蠕虫,位置在首页+登录就中招+通杀网页和人人桌面 反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页
ok,boomer xss的dom破坏
xiaomi11133的博客
08-21 313
通过构造与setTimeout函数参数名相同的标签id,浏览器执行setTimeout函数时会查找HTML中id=ok的字符串类型的标签,而标签被调用时回一个表示标签的字符串即href属性中的值,因此setTimeout函数执行时会将标签中href属性的值tel:alert(1)当作代码来执行,利用该框架中白名单函数tel来执行。在HTML中,如果使用一些特定的属性名(id、name)给DOM元素命名,这些属性会在全局作用域中创建同名的全局变量,指向对应的DOM元素。
Vue的文本插值和Attribute绑定是如何防止XSS的?
沐爸的博客
08-21 646
在Vue中,文本插值和Attribute绑定是两种常见的动态内容展示方式,今天我们看下Vue如何保障应用的安全性,防止跨站脚本攻击(XSS)的。
burpsuite xssValidator插件(xss插件)
最新发布
墨痕诉清风的博客
08-23 118
上边的两个链接都要下载(两个文件放在同一个文件夹下)修改完之后点击start attack开始扫描。下载好之后将phantomijs加入环境变量。3. 把数据包右键发送到 intruder。这里也修改一下,和上边的字符串保持一致。如果成功的话,这里会打勾。
dvwa xss reflected
03-16
DVWA是一个漏洞演示平台,其中包含了多种漏洞类型,其中包括XSS反射漏洞。XSS反射漏洞是一种常见的Web漏洞,攻击者可以通过在URL参数或表单输入中注入恶意脚本,从而在用户浏览网页时执行恶意代码,例如窃取用户的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值