网络攻击——XSS攻击

最新推荐文章于 2024-07-31 12:18:55 发布
最新推荐文章于 2024-07-31 12:18:55 发布
阅读量1.6k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PUIWAH/article/details/88784340
版权

XSS攻击

简介

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。

不仅仅是业务上的“用户的 UGC 内容”可以进行注入,包括 URL 上的参数等都可以是攻击的来源。在处理输入时,以下内容都不可信:

  • 来自用户的 UGC 信息
  • 来自第三方的链接
  • URL 参数
  • POST 参数
  • Referer (可能来自不可信的来源)
  • Cookie (可能来自其他子域注入)

XSS分类

根据攻击的来源,XSS 攻击可分为存储型、反射型和 DOM 型三种。

类型 存储区 插入点
存储型 XSS 后端数据库 HTML
反射型 XSS URL HTML
DOM 型 XSS 后端数据库/前端存储/URL 前端 JavaScript
  • 存储区:恶意代码存放的位置。
  • 插入点:由谁取得恶意代码,并插入到网页上。
存储型 XSS

存储型 XSS 的攻击步骤:

  1. 攻击者将恶意代码提交到目标网站的数据库中。
  2. 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。
  3. 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  4. 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等

最低0.47元/天 解锁文章
PUIW
关注
前端安全-面试题(2024)
qq_16546829的博客
04-01 1778
前端安全面试题必问
网络攻防技术——XSS实验
学习记录
02-27 3420
一、题目 跨站点脚本(XSS)是一种常见于web应用程序中的计算机安全漏洞。此漏洞使攻击者有可能将恶意代码(如JavaScripts)注入受害者的web浏览器。 为了演示攻击者可以做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的web应用程序。我们已经注释掉了Elgg的一些保护方法,故意使其容易受到XSS攻击。学生们需要利用这些漏洞发动攻击,就像Samy Kamkar在2005年通过臭名昭著的Samy蠕虫对MySpace所做的那样。此攻击的最终目标是在用户之间传播XSS蠕虫,这样无论
前端安全方面面试题
桃子阿桃
08-28 5028
1. 请简述XSS的原理 跨站脚本攻击, 用户的数据, 数据可能是文章或评论或浏览器访问时候的某个参数, 总之是来自用户的数据, 最后被当做脚本在页面中执行, 执行的地方可能在script标签或其他标签的属性或富文本中等等… 最根本的是本来是个数据被当成了脚本变成了程序 2. 请简述XSS的防御方法 两种思路: 不要让其变成程序, 这个数据变成程序的话不让它执行 浏览器内置了对反射型XSS的防御, 当它检测到有反射型xss的时候会进行拦截 对数据进行适当转义, 包括在正文中的转义, 属性中的转义, 脚本中
五分钟带你了解XSS攻击
最新发布
ORANGE_3iING的博客
07-31 954
跨站脚本攻击(XSS) 是一种,它允许攻击者。此代码由用户执行,让攻击者并冒充用户。如果 Web 应用程序没有采用足够的,则这些攻击会成功。用户的浏览器无法检测到恶意脚本是不可信的,因此允许其访问任何 Cookie、会话令牌或其他特定于站点的敏感信息,或者让恶意脚本重写 HTML 内容。
你想学的黑客(攻击)技术全在这了,一篇打包带走!
MachineGunJoe666
07-30 1360
前言: 大家好,今天给大家介绍一下,Web安全领域常见的一些安全问题。 1. SQL 注入 SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。 而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之中提交到后端服务器,后端服务器如果未做输入安全校验,直接将变量取出进行数据库查询,则极易中招。 举例如下: 对于一个根据用户ID获取用户信息的接.
不只是 huohuo 的 前端安全 面试题
梅花寺
05-09 167
什么是 XSS 攻击? 简而言之,就是页面被注入了恶意代码。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。 本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。 如何进行的 XSS 攻击? 有哪些地方可以被攻击呢? 用户输入片段
【知识总结】有关前端安全的面试题总结
椰卤工程师的个人博客
09-21 2258
你了解哪些前端安全相关的知识?或者名词? xss csrf https csp:内容安全策略,可以禁止加载外域代码,禁止外域提交等等 hsts:强制客户端使用https与服务端建立连接 x-frame-options:控制当前页面是否可以被嵌入到iframe中 referrer-policy:控制referer的携带策略 能稍微详细的聊一下xss吗 cross-site scripting,跨站脚本,通常简称为xss。 说白了就是攻击者想尽一切办法将可执行代码注入到网页中,而恶意代码未经过过滤,与网站正
机器学习实现web攻击检测——XSS、SQL注入、Webshell检测.zip
05-06
XSS攻击是指攻击者通过在网页中插入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而窃取用户的敏感信息,如Cookie、登录凭据等。要检测XSS攻击,可以训练一个机器学习模型来识别潜在的恶意JavaScript代码片段...
【网络攻防技术】实验七—— XSS攻击实验(Elgg)
qq_45755706的博客
03-01 7609
文章目录一、实验题目二、实验步骤及结果配置相关环境Task1: Posting a Malicious Message to Display an Alert WindowTask 2: Posting a Malicious Message to Display CookiesTask 3: Stealing Cookies from the Victim’s MachineTask 4: Becoming the Victim’s FriendTask 5: Modifying the Victim’s
lab7——XSS
(∪.∪ )...zzz的博客
10-20 295
这里写目录标题配DNS启docker开始实验lab1task2——XS攻击来显示访问的Cookiestask3 ——偷取受害者的Cookie监听Alice主页发来的cookie触发-alice查看自己主页,查看返回的cookie受害者查看alice的主页,cookie返回给攻击者task 4——用JS自动添加好友问题task 5 ——XSS攻击修改别人的主页问题 配DNS sudo nano /etc/hosts 启docker dcup后 image——>container 我们在这个实
前端面试--安全问题
weixin_42439051的博客
04-16 404
安全 基本概念,攻击方式,防御措施 CSRF 跨域请求伪造 前提:用户登录A网站生成本地cookie并且不登出情况下访问B 防御 token验证 服务器发送给客户端一个token; 客户端提交的表单中带着这个token。 如果这个 token 不合法,那么服务器拒绝这个请求。 隐藏令牌 把 token 隐藏在 http 的 head头中。 同一 refer验证 Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。 XSS 跨域脚本攻击 原理
前端安全面试题
weixin_51140082的博客
03-19 6841
什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可以获取用户的敏感信息,如Cookie,SessionID等,进而危害数据安全。为了和CSS区分,这里把代码的第一个字母改为X,于是叫做XSS ...
前端面试题(五)安全篇
weixin_34112030的博客
12-03 307
XSS 跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言。 XSS 分为三种:反射型,存储型和 DOM-based 如何攻击 XSS 通过修改 HTML 节点或者执行 JS 代码来攻击网...
【前端面试题】:网络安全篇
Anislandwhale的博客
03-19 1515
HTTPS 中间人攻击是一种网络安全威胁,攻击者通过拦截客户端和服务器之间的通信,作为中间人处理双方的数据,从而窃取或篡改信息。这种攻击通常发生在攻击者能够控制或监听客户端和服务器之间的网络连接时,例如公共 Wi-Fi 等不安全网络环境。在 HTTPS 中间人攻击中,攻击者会拦截服务器向客户端发送的公钥,并用自己的伪造公钥替换它。当客户端使用伪造公钥加密数据并发送给服务器时,攻击者可以拦截并解密这些数据。同时,攻击者还可以用自己的私钥重新加密这些数据,并将其发送给服务器,使得服务器无法察觉异常。
前端面试——安全
路明凡的博客
08-13 717
CSRF 基本概念 CSRF,跨站请求伪造 攻击原理 1、网站存在接口漏洞 2、用户登录过该网站 防御措施 Token验证 Referer(页面来源)验证 隐藏令牌 XSS 基本概念 跨域脚本攻击是一种常见于web application中的计算机安全漏洞。 攻击原理 XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用...
面试之前端安全问题
weixin_45523839的博客
08-16 640
面试之前端安全问题三大安全问题(客户端)XSS 攻击CSRF 攻击点击劫持 三大安全问题(客户端) 一:XSS 攻击 二:CSRF 攻击 三:点击劫持 XSS 攻击 XSS 攻击的本质是将用户数据当成了 HTML 代码一部分来执行,从而混淆原本的语义,产生新的语义。 XSS 攻击方式有很多,所有和用户交互的地方,都有可能存在 XSS 攻击。 例如: 所有 input 框。 window.location。 window.name。 document.referrer。 document.cookie。 lo
前端安全常识面试题学习笔记
csnikey的博客
11-07 1056
常见的web安全面试题 前言 以下总结的为前端常见的安全常识,也是面试必问的。没有大的技术含量,但需要知道。我们在自己的应用开发中,也需要避免这样的低级问题。 sql注入 描述 就是后端依赖前端返回的参数直接拼接sql进行查询数据,导致sql不正常的拼接,造成的安全问题。 解决方案 对前端传递的信息进行层层校验,不直接使用。 备注:由此延伸到,其实任何前端的传递数据都可能是有风险...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值