信息安全技术(二)——利用DOM XSS

VIP文章 已于 2023-06-27 13:53:03 修改
阅读量366 收藏 1
点赞数
文章标签: xss 安全 前端
于 2023-06-27 13:43:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wine_in_glass/article/details/131411862
版权

简介

       跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

       它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。

        利用DOM XSS攻击时,payload 是由浏览器的 DOM 接收和处理的,这意味着注入的代码永远不会在服务器端运行,并且任何服务器端验证或编码都对这种攻击无效。

1.启动owasp靶机环境

(1)启动owasp靶机

如图中红框中的信息192.168.192.152,我的owasp靶机的 IP地址

(2)启

最低0.47元/天 解锁文章
21级计算机网络技术2班-韦宗南
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
利用DOM XSS
2301_78833225的博客
06-21 201
利用DOM XSS攻击时,payload 是由浏览器的 DOM 接收和处理的,这意味着注入的代码永远不会在服务器端运行,并且任何服务器端验证或编码都对这种攻击无效。浏览器登入靶机IP,转到 Mutillidae II | OWASP 2013 | XSS | DOM | HTML5 Storage。(2)尝试添加一些数据,发现在开发者工具中并没有进行网络通信,绿色条显示。(1)这个练习会展示一个表单,用于在浏览器的本地记录中存储信息和相应的。(5)尝试设置一个包含 HTML 代码的键值。
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
Web应用安全DOMXSS.pptx
06-18
DOMXSS 4 DOMXSS防御 3 DOMXSS原理分析 2 DOMXSS简介 1 DOM 5 反射型与存储型与DOM型的对比 6 DOMXSS攻击流程 目录 DOM DOM 是 Document Object Model(文档对象模型)的缩写 DOM 是 W3C(万维网联盟)的标准。 DOM 定义了访问 HTML 和 XML 文档的标准: W3C 文档对象模型 (DOM) 是中立于平台和语言的接口,它允许程序和脚本动态地访问和更新文档的内容、结构和样式。 DOM DOM中有很多对象,其中一些是用户可以操纵的,如urI,location,refelter等。 客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行。 DOM dom就是一个树状的模型,可以编写Javascript代码根据dom一层一层的节点,去遍历/获取/修改对应的节点,对象,值。 DOMDOMXSS简介 dom就是一个树状的模型,你可以编写Javascript代码根据dom一层一层的节点,去遍历/获取/修改对应的节点,对象,
信息安全技术基础:XSS攻击概述.pptx
11-01
信息安全技术基础
前端安全XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击。1.做个假设,当亚马逊在搜索书籍,搜不到书的时候显示提交的名称。2.在搜索框搜索内容,填入“[removed]alert('handsomeboy')[removed]”,点击搜索。3.当前
信息安全技术基础:XSS跨站脚本的防御技术.pptx
11-01
信息安全技术基础
Web渗透测试之XSS攻击:基于DOMXSS
vodkaDL的博客
03-04 6299
文章目录前言基于DOMXSS总结 前言 基于DOMXSS 总结
XSS注入——DOMXSS
wwwwyyyrre的博客
06-26 4181
XSS根据恶意脚本的传递方式可以分为3种,分别为反射型、存储型、DOM型,前面两种恶意脚本都会经过服务器端然后返回给客户端,相对DOM型来说比较好检测与防御,而DOM型不用将恶意脚本传输到服务器在返回客户端,这就是DOM型和反射、存储型的区别DOMxss可以在前端通过js渲染来完成数据的交互,达到插入数据造成xss脚本攻击,且不经过服务器,所以即使抓包无无法抓取到这里的流量。它是基于DoM文档对象的一种漏洞,并且DOMXSS是基于JS上的,并不需要与服务器进行交互。
xss原理及利用
MAPLE102424的博客
05-12 1322
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。当别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
XSS漏洞 DOM型测试 payload代码
02-26
XSS漏洞 DOM型测试 payload代码 这是测试跨脚本攻击是否有DOMXSS的漏洞,适合网络安全初学者进行测试。 跨脚本攻击漏洞是top10的一种。
前端安全系列:如何防止XSS攻击?
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
信息安全技术基础:XSS跨站脚本分类.pptx
11-01
信息安全技术基础
一个5000刀的XSS
最新发布
2401_84434570的博客
05-03 214
背景介绍今天分享国外一个白帽小哥Crypto通过发现Apple某网站XSS而获得5000美元赏金的故事。废话不多说,让我们开始吧~
全新桥隧坡安全监测解决方案,24h监测效率提升30%
Hi_Target的博客
04-30 919
4月26日,交通运输部党组书记、部长李小鹏在部务会上强调,要高度重视公路桥梁隧道结构监测工作,抓紧推进公路桥梁隧道结构监测系统建设,进一步健全完善公路桥梁隧道结构监测长效运行机制。基于北斗高精度定位技术,采用高精度传感器,融合物联网、人工智能以及三维数字化仿真等技术,实时获取运营数据,掌握桥隧坡的运行状况,可有效减少维护成本,保障运营安全。具备振弦、电压、电流、差阻、RS485、RS232、开关量、继电器、RJ45接口。在全国各省份设有26家分公司,具备专业、高效的演示、演练、支撑、交付等本地化服务能力。
安全运维 -- splunk 操作手册
leeezp的博客
04-30 929
日常运维操作笔记 (持续更新)
Go语言的map并发读写如何保证安全
技术笔记
04-28 1053
为了保证Go语言中map的并发安全,我们可以使用互斥锁(如sync.Mutex或)来保护对map的访问,或者使用并发安全的map实现(如sync.Map选择哪种方式取决于具体的应用场景和需求。在大多数情况下,使用互斥锁是一个灵活且可靠的选择,而sync.Map则适用于特定的读多写少场景。推荐阅读Golang实战项目分享Golang专栏Go语言异常处理方式。
网络安全实训Day16
Yisitelz的博客
04-26 1357
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
window.location.href造成DOM XSS怎么解决
08-23
要解决由`window.location.href`引起的 DOM XSS(跨站脚本攻击),可以采取以下几种方法: 1. 输入验证和过滤:对于用户提供的输入,特别是来自不可信源的输入,应使用输入验证和过滤来确保只接受预期的数据。例如,可以使用合适的正则表达式对 URL 进行验证,并过滤掉可能引起安全问题的部分。 2. 输出编码:在将用户输入插入到 DOM 中时,确保进行适当的输出编码。这可以防止输入被解释为代码,并且会转义特殊字符,使其无法执行。 3. 使用安全的跳转方法:`window.location.href`是一种直接将浏览器重定向到新 URL 的方法,但它也可能导致安全问题。为了更安全地进行跳转,可以使用其他跳转方法,如`window.location.replace(url)`或`window.location.assign(url)`,它们不会将当前页面的 URL 添加到历史记录中。 4. Content Security Policy (CSP):CSP 是一种安全机制,通过限制允许加载和执行的资源来减少跨站脚本攻击的风险。使用 CSP 可以配置白名单,只允许加载来自特定域的资源。 5. 更新浏览器和框架版本:及时更新浏览器和使用的框架版本,以获取最新的安全修复和功能改进。 以上方法是常见的用于解决由`window.location.href`引起的 DOM XSS 的一些措施。然而,安全性取决于具体的环境和实现,建议根据具体情况采取适当的安全防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

21级计算机网络技术2班-韦宗南

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值