XSS漏洞介绍

最新推荐文章于 2024-06-27 22:21:33 发布
最新推荐文章于 2024-06-27 22:21:33 发布
阅读量243 收藏
点赞数
分类专栏: WEB 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yy10205473/article/details/113060874
版权

XSS漏洞介绍

XSS简介

XSS全称Cross-site scripting,跨站脚本攻击。
恶意攻击者往WEB页面里插入恶意HTML代码,当用户浏览该页面的时候,嵌入其中WEB里面的HTML代码会被执行,从而达到恶意用户的特殊目的。(到取cookie,以攻击用户的身份进行一些操作)

DOM-based XSS

DOM是一个与平台、编程语言无关的接口,通常用来代表HTML中的对象,使用DOM可以允许程序或脚本动态地访问和更新文档内容、结构和样式,它处理后的结果能够成为显示页面的一部分。
当用户能够通过交互修改浏览器页面中的DOM,之后显示在浏览器上获得DOM中的数据在本地执行,DOM中有很多对象,其中一些是用户可以操纵的,如URL,location,refelTer等。简单的说DOM-based XSS就是由客户端的JavaScript代码操作DOM造成的Payload执行的漏洞。

攻击过程

1.用户登录web应用(网站)
2.攻击者给用户发送一个恶意的URL
3.用户点击了攻击者发送的URL
4.服务器返回包含JavaScript脚本的页面
5.攻击者提供的URL被页面的JavaScript脚本所使用,生成payload
6.用户浏览器传送敏感信息给攻击者
7.攻击者通过敏感信息对web服务器进行攻击

反射型XSS

反射型XSS又称为非持续久的XSS,反射型XSS的payload一般包含在链接中,是攻击者往web页面插入恶意代码,当用户浏览该页面时,攻击者插入的恶意代码会被客户端直接执行,从而达到恶意攻击的目的。

存储型XSS

存储型XSS的payload是永久存储在服务中,也叫永久的XSS,当浏览器请求数据时,包含该payload的数据从服务器上上传回客户端执行。

无领
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
XSS是什么?(Xmind配文详解)
weixin_55832111的博客
03-27 1万+
一张图带你详解XSS (话不多说上图) 一、什么是 XSS XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。 (是不是有人就会有疑问了,缩写不应该是CSS吗?因为CSS(层叠样式表)是一种用来表现文件样式的计算机
XSS漏洞攻击(一)
qwzf
07-16 2468
XSS漏洞攻关(一) 前言 在了解xss之前,可以先了解一下下面这些内容 1.AJAX实现异步更新、跨域 2.常用命令document.write();``alert("");``document.cookie; 3.payload—意思为有效载荷,概念验证,即是漏洞验证脚本; Ajax跨域 1.允许单个域名访问 指定某域名跨域访问,只需在http://xx.com/xx.php文件头部添加如下...
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
m0_64378913的博客
05-13 2万+
目录1 XSS漏洞简介2 XSS漏洞危害3 XSS漏洞分类3.1 反射型XSS3.2 存储型XSS3.3 DOM型XSS3.3.1 节点树模型3.3.2 DOM型XSS4 漏洞验证4.1 漏洞验证相关概念4.2 漏洞验证相关概念之间的区别4.3 常见POC5 XSS漏洞验证实例5.1 反射型XSS漏洞验证实例5.2 存储型XSS漏洞验证实例5.3 DOM型XSS漏洞验证实例6 总结参考文章 1 XSS漏洞简介 定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是
XSS漏洞
热门推荐
黄先生的博客
03-01 2万+
XSS是web安全中最为常见的漏洞XSS全称是Cross Site Script。XSS攻击通常指黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而控制用户浏览的一种攻击。 这里的跨站访问,可以是从正常的网站跨到黑客的服务器,也可以是黑客的服务器跨到正常的网站。 XSS漏洞经常出现在需要用户输入的地方,这些地方一旦对输入不进行处理,黑客就可以进行HTML注入,进而篡改网页。 例如:页...
XSS 漏洞简单介绍
2401_84275261的博客
04-15 1313
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,它允许攻击者在网页上注入恶意脚本代码。最早被发现的XSS漏洞是在1996年,随着JavaScript的出现,XSS漏洞因为可以使用JavaScript进行攻击而变得更加普遍和危险。2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。8、窃取 cookie 的 sessionid,冒充登录。1、盗取各类用户账号,如机器登录帐号、用户网银帐号、各类管理员帐号。3、盗窃企业重要的具有商业价值的资料。
XSS漏洞介绍以及waf绕过
最新发布
weixin_58052886的博客
06-27 1325
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。主要在于程序对输入和输出的控制不够严格,导致攻击者在将script代码输入后,在前端浏览器被当作有效代码解析并执行从而产生危害。
XSS漏洞详解
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
DedeCMS 存储型xss漏洞1
08-03
【DedeCMS 存储型 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
gnuboard xss漏洞1
08-03
XSS漏洞详解】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。XSS攻击通常发生在Web应用程序未能充分验证或转义用户输入的数据时,使得这些数据可以被当作...
Nmap指定网卡探测,工具ndiff,Zenmap使用
Yy10205473的博客
01-16 2578
指定网卡探测,工具ndiff,Zenmap使用指定特定网卡进行对应的探测情景介绍指定网卡进行探测扫描结果对比 (ndiff)使用可视化nmap(Zenamp)使用配置扫描策略 指定特定网卡进行对应的探测 情景介绍 Nmap是一款课扩展性强的工具,并且一些NSE脚本支持嗅探。但是这种功能需要网卡支持混杂模式才可以。或者当计算机上有两张网卡,并且两张网卡对应的不同网络。 Nmap提供了切换使用特定网卡进行探测的参数 -e 指定网卡进行探测 命令 nmap -e interface CIDR interface
Nmap端口探测技巧
Yy10205473的博客
01-15 1524
端口探测技巧实际场景端口探测技巧对某个端口进行探测对多个端口进行探测扫描某个范围的端口对所有端口进行探测指定协议探测端口通过协议名来扫描端口通过协议名称范围进行扫描扫描注册在nmap中的端口 实际场景 在实际环境中,当系统管理员对设备进行管理时,或者渗透测试人员对设备进行检测是,并不一定需要对所有的服务进行操作。极有可能是对某个或某个范围的服务进行检测。如果不管什么情况都对所有服务进行探测,会出现耗时长,费力不讨好的情况。针对这种情况,可以使用Nmap来对服务进行更加灵活的探测,避免全端口探测对服务器造成压
Netcat使用
Yy10205473的博客
01-13 1519
Netcat使用简介基础使用方法实现简单的通信返回shell的使用 简介 Netcat是一款非常出名的网络工具,简称“NC”,有渗透测试中的“瑞士军刀”之称。它可以用作端口监听、端口扫描、远程文件传输、还可以实现远程shell等功能。总之功能强大,可以用一句较为风趣的话来描述NC的强大——“你的想象力是局限NC的瓶颈”。 基础使用方法 实现简单的通信 创建服务端方法 nc -l -p [localpost] -l:启动监听模式 -p:监听某个端口的连接 [localpost]:需要监听的端口 创建一个客
内网信息收集(手动收集本机信息)
Yy10205473的博客
12-01 1315
内网信息收集概述收集本机信息手动收集本机信息查询网络配置信息查询操作系统及软件的信息查询本机服务信息查询进程列表查看启动程序信息查看计划任务查看主机开机时间查询用户列表 概述 内网信息收集需要判断三个方面: 对当前机器角色的判断; 对当前机器所处网络环境的拓扑结构进行分析和判断; 对当前机器所在区域的判断。 对当前机器角色的判断:是指判断当前机器是普通Web服务器,开发测试服务器,公共服务器,文件服务器,代理服务器,DNS服务器还是储存服务器等。 对当前机器所处网络环境的拓扑结构进行分析和判断:是指对所处内
XSS漏洞利用深度解析
这篇资料主要探讨了XSS漏洞的利用和挖掘,适合初学者入门学习。 首先,攻击者可能将XSS攻击代码嵌入到网页中,当用户访问这个被注入的页面时,恶意脚本会在用户的浏览器上下文中执行。例如,`alert(1)`或`alert...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值