夏令营集训4----WEB前端安全-XSS与CSRF

最新推荐文章于 2022-11-14 15:52:46 发布
最新推荐文章于 2022-11-14 15:52:46 发布
阅读量214 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MIGENGKING/article/details/96461670
版权

什么是前端、后端?

前端:
即网站前台部分,运行在PC端,移动端等浏览器上展现给用户浏览的网页
后端:
更多的是与数据库进行交互以处理相应的业务逻辑。需要考虑的是如何实现功能、数据的存取、平台的稳定性与性能等

前端与后端的联系:
在这里插入图片描述

前端的三个核心技术:
一HTML: 超文本标记语言 (Hyper Text Markup Language),用来显示文字、图片等内容

二CSS:层叠样式表 (Cascading Style Sheet),可以使人更能有效地控制网页外观

三JavaScript:面向对象的动态类型的客户端脚本语言,用来给HTML网页增加动态功能。

HTML基本语法

1 HTML是一种标记语言,HTML 标记标签通常被称为 HTML 标签
2 HTML 标签是由尖括号包围的关键词,比如
3 HTML 标签通常是成对出现的,比如
4 标签对中的第一个标签是开始标签,第二个标签是结束标签
5 开始和结束标签也被称为开放标签和闭合标签

实例:
在这里插入图片描述

CSS基本语法

1 CSS可以嵌套在HTML中,也可移出 HTML 文档,移入一个独立的样式表。
2 CSS 规则由两个主要的部分构成:选择器,以及一条或多条声明。

在这里插入图片描述

JavaScript基本语法

在 HTML 中,JavaScript 代码必须位于 标签之间。

在这里插入图片描述

浏览器的两个功能

1.查看页面源代码:查看被浏览器解析后的HTML源码

2.查看元素/检查:
Elements(元素)选项可以查看被浏览器解析前的页面源码,并可以更改源码;
Console(控制台)选项可以调试页面的JavaScript代码

打开网页,鼠标右键即可找到这两个选项
在这里插入图片描述

什么是XSS?

1、XSS(Cross Site Script),即跨站脚本攻击,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet ,CSS)有所区别,所以在安全领域叫做“XSS”

2、XSS攻击通常指黑客通过“HTML”注入篡改了网页,插入了恶意的脚本,从而在浏览网页时,控制用户浏览器的一种攻击

3、XSS长期以来被列为客户端Web安全中的头号大敌。因为XSS破坏力强大,且产生的场景复杂;针对各种不同场景产生的XSS,需要区分情景对待

实例在low等级下的
题目一:

在这里插入图片描述
解题思路:先把代码保存为后缀为.php的文件,然后把文件放进phpstudy软件的根目录下

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
然后去浏览器上打开

在这里插入图片描述可以看到,代码直接引用了name参数(需要看代码),并没有任何的过滤与检查,存在明显的XSS漏洞。

题目二(DVWA在线平台: http://43.247.91.228:81):

题目出现一个框,然后你在框里面输入什么它就会输出什么,这样的题目你首先想到时候有XCC漏洞
在这里插入图片描述

如果提交如下一段JavaScript代码:

	<script>alert(1)</script>

可以发现,,成功弹框:
在这里插入图片描述
在这里插入图片描述
题目:
XSS挑战http://xss.tesla-space.com/
辅助理解:
Writeup:https://blog.csdn.net/qq_42357070/article/details/83818283

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

很明显,当我们已修改URL上name的数据,图片里面的数据也会随着改变这是XCC漏洞的特征,如果提交如下一段JavaScript代码:

	<script>alert(1)</script>

可以发现,这段代码在当前页面执行了;如果用户的输入提交后触发了弹窗,那么就说明存在XSS

在这里插入图片描述

什么是DOM?

根据W3C的HTML、DOM标准文档中所有的内容都是节点;

1、整个文档是一个文档节点
2、每个HTML元素是元素节点
3、HTML元素内的文本是文本节点
4、每个HTML属性是属性节点
5、注释是注释节点

在这里插入图片描述

实例:

代码:

在这里插入图片描述
在这里插入图片描述

然后把网页代码放进sublime text里面保存为html文件

在这里插入图片描述
放进sublime text软件中的代码要注意中英文符号(“)要改为英文的"
保存为html后缀的文件然后打开文件,直接会跳转到浏览器

在这里插入图片描述在这里插入图片描述
一按write,就会跳出www.baidu.com,因为代码上有跳转的参量

XSS到底能干吗?

XSS并不等同于弹窗,上述例子只是为了检测是否存在XSS

常见危害:

1、劫持用户会话
2、盗取cookie
3、钓鱼欺骗
4、强制弹出广告
5、提升用户权限
6、传播跨站脚本蠕虫
……

XSS测试平台:http://www.l31.cc/index.php

CSRF简介

CSRF,Cross Site Request Forgery,即跨站点请求伪造

它是一种常见的Web攻击,也是Web安全中最容易被忽略的一种攻击方式

它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。

一般攻击方式为攻击者诱使用户访问了一个页面,就以该用户身份在第三方站点里执行了一次操作

DVWA在线平台: http://43.247.91.228:81/

短网址生成工具:
http://suo.sheng2019.cn/?pid=2&zzj02&renqun_youhua=737067

MIGENGKING
关注
XSSCSRF是什么
xushilong0812的博客
11-23 393
XSS XSS:Cross-site scripting(跨站脚本攻击) 攻击者可以利用这种漏洞在网站上注入恶意的客户代码。指攻击者利用网站程序对用户的输入输出过滤不足,导致恶意代码在页面执行,对受害者造成cookie资料窃取、会话劫持、钓鱼欺骗等危害; 如: 弹 出 恶 意 警 告 框 :<script>alert(“XSS”);</script> 存储型 XSS: 注入型脚本永久存储在目标服务器上。当浏览器请求数据时,脚本从服务器上传回并执行。 反射型 XSS: 当用户点击一
ctf入门(转载)
wxy201008的博客
08-28 2429
CTF入门指南(0基础) ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据 reverse 逆向windows、linux类 ppc 编程类的 国内外著名比赛 国外: 国内:xctf联赛 0ctf上海国...
kali linux 2.0 web 渗透测试 电子书
weixin_33888907的博客
06-01 448
打起精神,重新开启订阅号的原创文章写作工作,但是需要点时间,请耐心等待。 求资料的同学,没有及时回复的,请再次留言,我会尽快处理。今天分享两本电子书,虽然是英文的,但是难度不高。 第一本是基于Kali 2.0 的web渗透测试 链接: pan.baidu.com/s/1slLgAAD 密码: 8gvn 第二本是基于Hadoop的大数据取证技术 链接: pan.baidu.com/s/1qY37DM...
做了一个XSS的闯关游戏,攻略贴上来
yd0str
12-13 8816
游戏地址: http://xss-quiz.int21h.jp 第一关:比较简单,直接输入 http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9 第二关:也相对简单,闭合标签 http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb20
xss跳转代码_XSS跨站脚本攻击-靶场writeup&总结
weixin_39963819的博客
11-21 558
XSS简介XSS(跨站脚本攻击)是指攻击者在网页中嵌入客户脚本,通常是Javascript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将在用户的浏览器上被解析执行。XSS Education环境搭建docker search xss # 搜索docker镜像,找到xss education对应的image docker run -d -p {p}:80 {sha} # {...
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
10-18
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
csrf-nosqli-xss-application:演示CSRF,NoSQL注入和XSS漏洞和保护的示例应用程序
05-11
CSRF,NoSQL注入和XSS目标应用程序 这是一个示例应用程序,用于演示CSRF,NoSQL注入和XSS漏洞和保护。 master分支由unprotected分支和fix-*分支的合并组成,这意味着它包含的代码至少在理论上受到了上述三种类型的...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
Web安全的三个XSS-CSRF-CLICK攻防姿
11-01
本篇讨论的Web安全的三个攻防姿态主要聚焦于XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、以及clickjacking(点击劫持/UI-覆盖攻击)。 XSS攻击是一种常见的Web安全威胁,恶意攻击者通过将恶意脚本代码嵌入到Web...
django-react-csrftoken:一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
DjangoCSRFToken 一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken ... < div xss=removed>
白帽子之web漏洞--xss攻击
鼓浪屿岛与海的博客
12-04 481
本文仅供学习,不支持一切以不法利益为目的的商业攻击 一.xss攻击原理 xss 是“跨站脚本攻击”,是一种注入攻击,当web应用对用户输入过滤的不严格时,攻击者写入恶意的脚本(CSS,HTML,JavaScript)到网页中时,如果访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击 二.常见xss危害 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 ...
Web安全--XSS(跨站脚本攻击)
最新发布
bobo_milk的博客
11-14 841
攻击者向web页面插入恶意可执行脚本代码,当用户浏览该页面时,嵌入到web页面的恶意代码就会被执行,从而达到攻击者盗取用户信息或侵犯用户安全隐私的目的。存储型:代码存放在服务器中,一般在个人信息或留言等地方,每当访问该页面就会触发代码(具有很高隐蔽性)DOM型:处理后的结果会成为页面的一部分,不提交数据到服务器,从客户获得DOM中的数据在本地执行。存储型:发送一次带有xss代码的请求,以后在这个页面数据包都会有xss代码。反射型:发送一次带有xss代码的请求,只在当前数据包会有xss代码。
BugKu Web WriteUp
AlexYoung28的博客
08-24 2226
Web 8 这道题的代码和前面的文件包含写的思路一样, 我们都是运用  php://input 写,来实现我们从文件中读出的数据和我们传入的数据一样。 我写的如下:  只要保证  $ac  的值 和我们写入文件  $fn 的值 一样即可, 我这里都写的是 123 细心 这道题刚开始看到主页之后,又看了源代码和抓了包,发现都没有什么特别的地方,所以,只有拿御剑扫描一下后台。 ...
网络信息安全攻防学习平台-脚本关 writeup
4ct10n
09-17 2万+
1.key又又找不到了直接burpsuit截断 出flag key is : yougotit_script_now2 .快速口算这道题比较有意思 在两秒钟之内回答他的算术题 思路:直接编写python脚本访问网站,获取html计算算式,得出答案,post传参,注意要建立长连接。 代码如下:#-*-coding:utf-8-*- import requests, re url = '
xss-labs 通关笔记
Ewige的博客
06-30 501
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
[网络安全提高篇] 一〇四.网络渗透靶场Oracle+phpStudy本地搭建万字详解(SQL注入、XSS攻击、文件上传漏洞)
杨秀璋的专栏
03-23 6728
前文带领大家深入Metasploit技术,涉及后渗透相关的技术,包括信息收集、权限提权、移植漏洞模块和后门。这篇文章将教大家搭建一个Oracle+phpStudy本地网络渗透靶场,并应用SQL注入、XSS攻击、文件上传漏洞三个场景。在搭建Oracle环境时遇到的各种问题,所幸写一篇详细的教程供大家学习,下一篇将详细介绍Oracle注入漏洞。本文参考了Cream、Fox、c0ny1好友兼老师的文章和代码,非常感谢。
CTF-练习平台 writeup web
热门推荐
heySister
12-20 2万+
bugku Web WriteUp 刚刚接触ctf没多久,做ctf-练习平台上的题目,有些新的题目,在网上没有找到对应的writeup,所以做了之后就想自己写一个,也顺便理理自己的思路。(没有太多经验…可能对有些题目的理解还不深刻…) 签到题 加群在公告里就可以看到flag值了。 Web2 F12,立马就看到flag的值了。 文件上传测试 题目说是...
XSS漏洞——渗透day08
qq_62716256的博客
09-04 584
XSS漏洞——渗透day08
XSS练习平台【XSS Challenges】
taozijun的博客
07-31 1万+
以下来自XSS练习平台----XSS Challenges 这个练习平台没有像alert(1)to win类似的平台一样会给出关键的源代码,并且会在页面给予反馈。这是一个模仿真实xss挖洞的情景,在XSS Challenges练习过程中,我们需要用浏览器中的f12中搜索(),找出我们控制的代码所在的位置,然后思考那些个位置哪个或哪几个位置可以被注入我们想要的代码,然后结合上下文进行各种脑洞绕过。...
DOM-XSS漏洞挖掘与攻击面全面解析
DOM-XSS(Document Object Model Cross-Site Scripting)是一种特殊的跨站脚本攻击,针对的是浏览器解析和执行JavaScript的能力...在现代Web开发中,跨源策略(CORS)、同源策略和沙箱模式也是防止DOM-XSS的重要手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值