【安全】P 4-1 XSS跨站脚本分类

最新推荐文章于 2023-02-05 19:40:47 发布
最新推荐文章于 2023-02-05 19:40:47 发布
阅读量283 收藏 1
点赞数
分类专栏: 安全大师 文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_David_Z/article/details/113835257
版权

目录

0X01 XSS漏洞介绍

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
在这里插入图片描述

0X02 反射型XSS

反射型XSS又称非持久性XSS,这种攻击往往具有一次性。
攻击者通过邮件等形式将包含XSS代码的链接发送给正常用户,当用户点击时,服务器接受该用户的请求并进行处理,然后把带有XSS的代码发送给用户。用户浏览器解析执行代码,触发XSS漏洞。
例如:

<?php echo $_GET[“uname”]; ?>

当用户访问 url?uname=时,触发代码,弹出对话框。
在这里插入图片描述

0X03 存储型XSS

存储型XSS又称持久型XSS,攻击脚本存储在目标服务器的数据库中,具有更强的隐蔽性。
攻击者在论坛、博客、留言板中,发帖的过程中嵌入XSS攻击代码,帖子被目标服务器存储在数据库中。当用户进行正常访问时,触发XSS代码。
例如:DVWA 中的 Stored XSS
在这里插入图片描述

0X04 DOM型XSS

DOM型XSS全称Document Object Model,使用DOM动态访问更新文档的内容、结构及样式。
DOM结构图
在这里插入图片描述

HTML标签都是节点,节点组成了节点树。通过HTML
DOM 可以对树上的所有节点进行修改。
服务器响应不会处理攻击者脚本,而是用户浏览器处理这
个响应时,DOM对象就会处理XSS代码,触发XSS漏洞。
例如:DVWA DOM XSS。
在这里插入图片描述
-----E-----N-----D-----
😄如有问题,请各位师傅斧正,你的支持是我最大的动力。

骆驼实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xssObject:遍历对象以查找xss转义的字符串
05-19
xssObject 遍历对象以查找xss转义的字符串
Kali Linux渗透测试(安全牛).txt
04-17
│ 任务098:XSS-简介、跨站脚本检测和常见的利用手段.mp4 │ 任务099:XSS- 键盘记录器和反射型XSS.mp4 │ 任务100:存储型XSS和BEEF浏览器框架.mp4 │ 任务101:CSRF.mp4 │ 任务102:WEBSHELL.mp4 │ 任务103:...
pikachu--xss
鲨鱼辣椒的博客
05-12 4407
XSS概述 XSS全称跨站脚本(Cross Site Scripting)是web中最为常见的漏洞之一,也是危害特别大的一种漏洞,一直高居漏洞排行榜的前几名。XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容被当成正常的HTML来执行(类似于SQL注入),从而产生危害。xss漏洞危害的对象主要是前端用户,并且可以用来进行钓鱼、前端js挖矿、用户cookie获取、甚至可以结合浏览器自身的漏洞对主机进行远程控制等。 XSS(窃取cookie)攻击流程 .
Pikachu之XSS
weixin_48621644的博客
10-14 3084
小羊学安全 任重而道远~
CTFHub-Web-反射型XSS
qq_54037445的博客
11-28 473
CTFHub-Web-反射型XSS XSS平台
XSS绕过经验总结
sli_ant的博客
07-06 4712
XSS绕过经验总结 1.概述 做过不少渗透测试,发现系统中有各式各样的拦截XSS的机制,这边分享一下绕过XSS的经验。 刚开始学习XSS时,可能一开始的攻击方式是将payload整理成字典,然后一个个尝试,或者是放到burpsuite中进行爆破,这个是非常直接而且挺有效果的方式,但是如果防御机制是直接将特殊字符进行转义时,可能这个效果就会比较差,因此我这里分享的经验时逐步进行分析的流程。 XSS攻击的流程: 1.观察输入的数据是否在页面有回显 2.判断XSS防御机制 3.构造XSSpayload 4.触发X
黑色风格带采集生成htmlP2P电影系统 -ASP源码.zip
01-24
6. **安全性**:使用ASP开发的系统需要注意安全问题,如SQL注入、跨站脚本攻击(XSS)等,源码中应有相应的防护措施。 7. **网页布局与设计**:黑色主题的界面设计涉及到CSS(层叠样式表)和HTML,用于控制网页的外观...
mark-1:这是php网站,用于共享和学习笔记
05-03
PHP网站可能会使用预处理语句防止SQL注入,使用htmlspecialchars或strip_tags来防止XSS跨站脚本攻击),以及使用验证码或时间戳来抵抗自动化攻击。 【响应式设计】 考虑到用户可能使用不同设备访问网站,响应式...
基于PHP的IPB(Invision Power Board).zip
最新发布
07-20
1. 安全防护:IPB内置了多种安全机制,如防止SQL注入、XSS攻击等。然而,开发者在进行PHP编程时,仍需遵循最佳实践,如使用预编译语句、过滤用户输入等,以确保社区安全。 2. 性能优化:合理使用缓存技术(如...
moscow-trading
03-10
这包括使用HTTPS协议确保数据传输的安全,防止XSS跨站脚本攻击)和CSRF(跨站请求伪造)等网络安全威胁,以及对用户输入进行验证和过滤,防止SQL注入等。 9. 性能优化:为了提供更好的用户体验,项目可能需要关注...
xss漏洞,弹不了窗
山兔的博客
05-14 1094
xss漏洞弹不了窗,我们可以试着去获取cookie,或者插入图片
xss的那些有卵用和没有卵用(一)
一个码农的笔记
02-14 791
一:特殊字符的使用: 这里选择一个主流浏览器都会弹窗的语句: (1)首先用回车和tab代替空格 回车: src=1 onerror=" alert(1) " /> 【tab】: 特殊: 这个标签只能在ie5,ie6,ie8中使用 其中这个标签不仅能用回车和tab代替空格,还能在双引号的字母之间插入回车和[tab] 回车的极限情况: sr
了解一些xss漏洞绕过方式
贝隆的博客
02-05 1547
了解一些xss漏洞绕过方式
ctfshow web入门 xss
blowed的博客
01-01 676
xss
Pikachu靶场之XSS漏洞详解
m0_61506558的博客
08-20 623
1、反射型xss(get)
CTF | 试试XSS
qq_42646885的博客
07-09 1917
进入合天网安实验室的实验机,打开网址只显示一个输入框,并提示alert document.domain。 尝试在在输入框输入<script>alert(document.domain)</script> 提交以后页面页面刷新了。再尝试输入<、>,’,"符号。发现在输入'和''时,页面多出了一个Img标签。 当输入'zzzzz时,zzzzz成...
Pikachu靶场-xss详解
qq_53083285的博客
10-30 7472
Picachu靶场-xss跨站脚本漏洞概述跨站脚本漏洞类型及测试流程反射型XSS(post&get)存储型XSSDom型XSSxss-获取cookiexss-进行钓鱼xss-获取键盘记录xss盲打xss的过滤和绕过xss输出在href和js中的案例xss的防范措施 XSS-跨站脚本漏洞目录 跨站脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS;
XSS攻击详解:跨站脚本危害与类型分析
"xss跨站脚本攻击-运维安全详细笔记" XSS(Cross-site scripting)跨站脚本攻击是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证和过滤用户输入的情况。攻击者通过在网页上注入恶意脚本,使得其他用户在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值