xss有关知识

最新推荐文章于 2022-08-03 13:00:02 发布
最新推荐文章于 2022-08-03 13:00:02 发布
阅读量207 收藏
点赞数
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Marsper/article/details/109169492
版权

xss简介

xss - 跨站脚本攻击

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

xss漏洞的验证

用一段简单的代码验证和检测漏洞的存在,这样的代码叫做POC(proof of concept)

POC 漏洞的验证与检测
EXP 漏洞的验证与检测
shellcode 利用漏洞的完整利用工具
payload 攻击载荷
sqlmap 攻击代码的模板

常用POC

<script>alert(/xss/)</script>

输入框中会原样输出所输入内容则存在xss漏洞

XSS的构造

  • 利用[<>]构造HTML/JS:例如
<script>alert(/xss/)</script>
  • 伪协议(javascript:JS代码):超链接
<a href="javascript:alert(/XSS/)">touch me </a>

img标签伪协议:

<img src="javascript:alert('xss')">
  • 产生自己的事件:
    1、”事件驱动”:比如鼠标移动、键盘输入等)JS可以进行响应发出xss
    2、事件种类
    window 事件:对windows的对象触发事件
    Form:HTML表单内的动作
    Keyboard事件:键盘事件
    例如键盘点击
<input type="text" onkeydown="alert(/xss/)">
<input type="text" onkeyup="alert(/xss/)">
<input type="button" onclick="alert(/xss/)">

mouse事件:鼠标
例如鼠标悬停

<img src='./smile.jpg' onmouseover='alert(/xss/)'>

3、大小写转换:可以将payload进行大小写转化。

<img sRc='#' Onerror="alert(/xss/)"/>  
 <a hREF="javaScript:alert(/xss/)"/>

4、引号的使用
HTML语言中对引号的使用不敏感,但是某些过滤函数是“锱铢必较”。
单双引号要测试过滤

<img src="#"onerror="alert(/xss/)"/>
<img src="#"onerror='alert(/xss/) '/>
<img src=#onerror=alert(/xss/) />

5、对标签属性值进行转码
可以对标签属性值进行转码,用来绕过过滤。

曦枳icon.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于XSS的一些介绍
diexingxia6458的博客
09-16 269
1、xss是什么?   XSS攻击:跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作。 在跨站点脚本攻击中,恶意代码在受影响用户的浏览器端执行,并对用户的影响。 2、xss可以干嘛?   弹框,很多人都觉得这个很好玩(仅仅是为了验证XSS攻击的存在);   盗取Cookie使得攻击者冒充受害人且无需密码;   伪造登陆提示来获取密...
XSS小结
wkend的博客
10-19 1518
XSS是什么? XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。跨站点脚本(XSS)攻击是一种注射型攻击,攻击者在可信的网页中嵌入恶意代码,用户访问可信网页时触发XSS而被攻击。 XSS会造成那些危害? 攻击者通过Web应用程序发送恶意代码,一般以浏览器脚本的形式发送给不同的终端用...
XSS知识
禅心之道的博客
05-22 282
一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。 这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。 二、XSS有什么危害? 当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防...
XSS知识点归纳
努力努力再努力
09-10 224
XSS知识点归纳 XSS攻击指通过HTML注入篡改网页,插入恶意的脚本,当用户浏览网页的时候,控制浏览器。 XSS的三种类型 反射型XSS 诱使用户点击一个恶意链接,才能攻击成功,即将用户输入的数据返回给浏览器 反射型XSS也叫做“非持久型XSS” 存储型XSS 将用户输入的数据存储到服务器端,这种XSS有很强的稳定性,所以也叫做持久型XSS。比如我在这篇博客里植入了恶意代码,访问到...
属性中的XSS
qq_43776408的博客
07-27 859
配置Chrome关闭XSS-Auditor 每次进行XSS实验时 出现以下安全措施 之后我们就要关闭XSS-Auditor 创建快捷参数外加参数 然后再打开就可以 属性中的XSS发现 左边输入的内容在属性input中 属性中的XSS闭合引入script 和sql注入感觉有点像 就是闭合前面的 复制上述代码到第二关的框框中 最后的成功示意图 属性中的XSS闭合引入事件 只要鼠标移动到这个框框 就会弹出对话框 value=“值”> 第一个"闭合前面的双引号 最后一个>闭合input
XSS注入知识点总结.pdf
02-07
该文档是在看网络学习视频总结,从XSS漏洞概述,XSS分类,XSS构造,XSS变形,XSS的利用,XSS的防御进行总结,分章节进行叙述,可作为学习文档。
Java防止xss攻击附相关文件下载
08-25
以下是一些关于Java防止XSS攻击的关键知识点: 1. **使用Filter拦截器**: 在Java Web应用中,可以使用Servlet Filter来拦截和处理HTTP请求。Filter可以在请求到达目标Servlet之前对其进行预处理,检查并清理可能...
【ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
.NET Core XSS 攻击防御方法 在 ASP.NET 编程中,XSS 攻击是一种常见的安全威胁,它允许恶意用户将代码植入到提供给其他用户使用的页面中。为防御 XSS 攻击,需要对用户输入的数据进行过滤和sanitization。本文将...
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击...同时,定期更新安全知识,对新的攻击手段保持警惕,是保障Web应用程序安全的重要环节。
xss注入讲解ppt.pptx
08-10
在学习 xss 之前,需要了解一定的前置知识,例如 javascript 语言知识和 dvwa 环境的搭建。同时,需要了解 xss 的类型和原理,以便更好的理解和防范 xss 漏洞。 在 dvwa 中,可以使用 xss 模块来测试 xss 漏洞,...
标签属性中的XSS
一米八多的瑞兹的博客
02-22 489
标签属性中的XSS 1. 配置Chrome关闭XSS-Auditor https://xss-quiz.int21h.jp/ 利用XSS过程中会出现下图情况。配置Chrome --args --disable-xss-auditor 2. 属性中的XSS发现 技巧:ctrl+F 搜索特定字符串 3. 属性中的XSS闭合引入script 闭合引号 尖括号,引入script脚本 “><script>alert(document.domain);</script> 4. 属
XSS详细讲解
热门推荐
qq_44857938的博客
06-18 1万+
XSS 1.XSS简介 (1)XSS简介 XSS作为OWASP TOP 10之一。 XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。 XSS是一种经常出现在web应用中的计算机大全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站对用
前端安全 — XSS攻击的分类、XSS攻击的预防
csdssdn的博客
04-13 1592
目录 什么是XSS XSS分类 存储型XSS 存储型XSS的攻击步骤: 反射型XSS 反射型XSS的攻击步骤: DOM型XSS DOM型XSS的攻击步骤: XSS攻击的预防 输入过滤 预防存储型和反射型XSS攻击 纯前端渲染 转义HTML XSS攻击的总结 以下原则减少漏洞的产生: 利用模板引擎: 避色内联重件 避免拼接HTML 时刻保持警惕 主动检测和发现 什么是XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是-种代码注.
XSS知识总结
qq_43842093的博客
11-07 6783
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
xss基础知识
土拨鼠挖洞中的博客
10-03 5327
  XSS 概述 指攻击者利用网站程序对用户的输入输出过滤不足,导致恶意代码在页面执行,对受害者造成cookie资料窃取、会话劫持、钓鱼欺骗等危害;     XSS危害 1.网络钓鱼,盗取各类用户的账号,如机器登录帐号、用户网银帐号、各类管理员帐号; 2.窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作 3.劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、...
【干货】XSS知识总结
hackzkaq的博客
10-27 6668
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
自用XSS闯关攻略
18年3月萌新白帽子
06-19 2673
老师搭建了一个让我们练手的XSS闯关平台,在这里跟大家分享一下,希望在学XSS的同学看过之后能有收获链接如下:http://114.115.183.86/zk/xsstest/xss_platform/code/xss01/index.php?name=chao只要我们能使用JavaScript语言让页面出现一个弹框就算闯关成功,如果页面没能正常跳转,在URL中将xss01改成对应关卡就行例如第8...
XSS变形突破
mdp1234的博客
07-29 1211
XSS的变形 1. 大小写转换 可以将payload 进行大小写转化。如: <Img sRc='#' Onerror="alert(/xss/)" /> <a hREf="javaScript:alert(/xss/)">click me</a> 2. 引号的使用---HTML 语言中对引号的使用不敏感.如“ <img src='#' οnerrοr='alert(/xss/)'/> <img src=# οnerrοr=alert(/x..
XSS相关知识
weixin_50931715的博客
08-03 1172
它是基于DoM文档对象模型的一种漏洞,并且DOM型XSS是基于JS上的,并不需要与服务器进行交互。不同于反射型XSS和存储型XSS,基于DOM的XSS跨站脚本攻击往往需要针对具体的 Javascript DOM代码进行分析,并根据实际情况进行XSS跨站脚本攻击的利用。形成XSS漏洞的主要原因是程序对输入和输出的控制过滤不够完善、严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。在危害性上:存储型XSS > DOM-XSS > 反射型XSS。二、XSS产生的原因。...
渗透测试 ,XSS基础知识
07-23
以下是关于 XSS 的基础知识: 1. XSS 的原理:XSS 攻击利用了网站对用户输入的信任,攻击者将恶意脚本注入到网页中,当用户浏览该网页时,恶意脚本会在用户的浏览器中执行,从而达到攻击的目的。 2. XSS 的分类:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值