XSS学习笔记(一) 概念、基本原理、简单实例及危害

最新推荐文章于 2024-08-23 16:53:29 发布
最新推荐文章于 2024-08-23 16:53:29 发布
阅读量6.1k 收藏 5
点赞数
文章标签: XSS 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amosilin/article/details/51069559
版权

概念

        跨站脚本(Cross-Site Scripting,XSS) 发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生。为防止与层叠样式表(Cascading Style Sheets,CSS)混淆,因此缩写为XSS进行区分。


基本原理

1.攻击者对某含有漏洞的服务器发起XSS攻击(注入JS代码)

2.诱使受害者打开受到攻击的服务器URL(邮件、留言等,此步骤可选项)

3.受害者在Web浏览器中打开URL,恶意脚本执行。


XSS跨站脚本实例

1.简单的html代码

<html>
	<head></head>
	<body>
		<script> alert("XSS")</script>
	</body>
</html>
HTML的script元素标记中间包含JavaScript,当浏览器遇到这一标记时,它不会将其内容处理成HTML或者XHTML,而是把对于其内容的控制权移交给另一个内置的浏览器代理——脚本处理引擎。又,Web浏览器本身的设计是不安全的,它只负责解释和执行JavaScript等脚本语言,而不会判断代码是否有害。

So,类似于SQL注入,当一个HTML页面能够被攻击者插入JS脚本,那么攻击便开始了。

case1.假如JS脚本是恶意警告框

<script> alert("这是恶作剧")</script>
这样也只能算作是恶作剧了。

case2.XSS输入也可能是HTML代码段。

刷新页面:

<meta http-equiv="refresh" content="0;">
嵌入其他网站URL:

<iframe src=http://www.baidu.com width=0 height=0></iframe>

2.攻击实例

正常操作:将a.html的输入的参数传递给b.html并显示

PS:不想用PHP或者其他通过服务器后台的方式传参,因此简单的使用JS脚本实现参数的传递。未用表单。

a.html

<html>
    <head>
        <title>a.html</title>
    </head>
    <body>
        <input type="text" id="input"></value>
        <input type="button" value="go" οnclick="go()"/>
    </body>
    <script>
        function go(){
            var input = document.getElementById("input").value;
            window.location.href ="b.html?input=" + encodeURI(input);
        }
    </script>
</html>
b.html 
<html>
    <head>
        <title>b.html</title>
    </head>
    <body οnlοad="onload()">
    </body>
    <script>  
        function onload(){
            var parma = document.URL.split('?')[1];
            var paramValue = parma.split("=")[1];
            document.write("<div>"+decodeURI(paramValue)+"</div>");
        }
    </script>
</html>
case1:正常输入 点击”go“

result:显示输入内容

case2:输入"<script>alert(/XSS/);</script>" 点击”go“

result:JS脚本被执行,弹出对话框

即:假如我们通过构造特殊打的输入信息,使其一部分内容被当做JS脚本执行,XSS攻击便产生了。

XSS漏洞危害

    早期,XSS危害性并不为人所认识,大多就是弹弹对话框、盗取Cookie或者网页挂马。

    通常的做法是,攻击者先通过注入诸如alert("XSS")之类的JS来证明存在XSS,然后利用该XSS巴拉巴拉。。。

    XSS危害特点:不如SQL注入之类直接危害大,但使用灵活。

危害总结:

    1.网络钓鱼,盗取各类用户的账号

    2.窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作

    3.劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志等

    4.强制弹出广告页面,刷流量等

    5..进行恶意操作,例如任意篡改页面信息,删除文章等,传播跨站脚本蠕虫,网页挂马等

    6.进行基于大量的客户端攻击,如DDOS攻击

    7.结合其它漏洞,如CSRF漏洞。

    8.进一步渗透网站



amosilin
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue学习笔记之slot插槽基本用法实例分析
12-28
本文实例讲述了vue学习笔记之slot插槽基本用法。分享给大家供大家参考,具体如下: 不使用插槽,在template中用v-html解析父组件传来的带有标签的content <!DOCTYPE html> <html lang=en> <head> &...
JavaScript详解
weixin_48373085的博客
01-25 2万+
HTML对象,定时器,表单验证,正则表达式
JavaScript 教程 (详细 全面)
热门推荐
梁辰兴的博客
10-31 7万+
JavaScript(简称“JS”)是当前最流行、应用最广泛的客户端脚本语言,用来在网页中添加一些动态效果与交互功能,在 Web 开发领域有着举足轻重的地位。HTML 用来定义网页的内容,例如标题、正文、图像等;CSS 用来控制网页的外观,例如颜色、字体、背景等;JavaScript 用来实时更新网页中的内容,例如从服务器获取数据并更新到网页中,修改某些标签的样式或其中的内容等,可以让网页更加生动。JavaScript 诞生于 1995 年,几乎是和互联网同时出现;
【JavaScript】详解JavaScript语法
lph159的博客
07-29 711
JavaScript是一门广泛应用于Web开发的编程语言。掌握JavaScript语法是成为前端开发者的第一步。本文将详细介绍JavaScript的基本语法,包括变量、数据类型、运算符、条件语句、循环、函数、对象、数组、ES6+新特性等内容。通过本文,你将全面了解JavaScript语法,并能在实际开发中灵活应用。JavaScript支持基本的算术运算:加(条件语句用于根据条件的真假执行不同的代码。是ES6引入的用于声明变量的关键字。函数是可以重复使用的代码块。数组是有序的元素集合。对象是键值对的集合。
JavaScript看这一篇就够了,简单全面一发入魂
学Java,找哪吒
03-09 3万+
文档对象模型(DOM,Document Object Model)是一个应用编程接口(API),用于在HTML中使用扩展的HTML。DOM将整个页面抽象为一组分层节点。 DOM通过创建表示文档的树,让开发者可以随心所欲的控制网页的内容和结构。使用DOM API可以轻松地删除、添加、替换、修改节点。 对浏览器而言,DOM就是使用ECMAScript实现的,如今已经成为JavaScript语言的一大组成部分。 言而言之,DOM提供与网页内容交互的方法和接口。
前端基础--JavaScript
qq_50048558的博客
08-22 2747
HTML HTML介绍 & 规范 介绍 HTML 指的是超文本标记/标签语言 (Hyper Text Markup Language). 专门制作网页的计算机语言. 超文本的意思是有一些单词或字母,在网页浏览器的世界中被赋予了特殊的权利。 记事本开发第一个网页 <html> <head> <title>第一个网页</title> </head> <body> Hello World! </body>
JavaScript基础(超详细全文约一万字)
bguihiub的博客
02-10 8617
回顾整个JavaScript的发展历程, 实际上就是Web发展的历程从最开始的拨号上网方式到现在的100M光纤, 4G/5G移动Web的发展在近20年, 上网的方式发生了翻天复地的变化, 可以说是科技大爆炸.人们在享受越来越便捷的上网的同时, 对Web产品的需求越来越高从单纯的对访问速度的需求, 越来越多的转移到视觉美感, 智能操作交互, 沉浸式虚拟现实, 这些需求又反过来推动了技术的不断创新与进步.
javascript 学习笔记(一)DOM基本操作
01-21
html部分代码: 当点击show按钮时,触发... <span xss=removed><input type=”button” value=”show” onclick=”showValue()” /></span> </p> ”text”></p> javascript 部分代码: 页面加载时,使inpu
Bootstrap学习笔记之进度条、媒体对象实例详解
12-29
1.基础进度条   要写在<div class=progress></div>里面。 <div class=progress-bar xss=removed> 2.多彩进度条 <div class=progress-bar xss=removed> <div class=progress
vue学习笔记之slot插槽用法实例分析
01-19
本文实例讲述了vue slot插槽用法。分享给大家供大家参考,具体如下: 不使用插槽,在template中用v-html解析父组件传来的带有标签的content <!DOCTYPE html> <html lang=en> <head> <meta ...
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
</script>`,如果这个输入被原样显示在结果页上,那么所有访问这个页面的用户都会看到一个弹出的警告框,这就是一个简单XSS攻击实例。 3. XSS危害XSS攻击可能导致以下后果: - 数据泄露:攻击者可以窃取用户...
javaScript简介
weixin_69252724的博客
04-16 4032
它是一种直译式的语言, 用来为网页添加各种各样的动态功能不需要编译直接通过浏览器直接运行, 通常javaScript脚本是通过嵌入HTML里来实现功能的。
JavaScript入门
08-27
从浅入深的JavaScript的教学Javascript是Web编程语言,所有的现代的Web浏览器都含有JavaScript解释器,JavaScript是部署最广泛的编程语言,无论你是从头开始还是有一定的基础,都可以帮助更好的掌握这门编程语言
JS(JavaScript)详解
weixin_53455615的博客
09-19 7831
JavaScript是由Netscape(网景)公司研发出来的一种在它的Navigator浏览器上执行的程序语言。JavaScript是一种基于对象(object-based)和事件驱动(Event Driven)的简单的并具有安全性能的脚本语言。JavaScript组成ECMAScript:JavaScript的核心,语法格式,使用方法文档对象模型(DOM,document object model):DOM(文档对象模型)是 HTML 和 XML 的应用程序接口(API)。
JavaScript 概述
Dailyblue的专栏
04-13 2367
JavaScript(简称“JS”) 是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。虽然它是作为开发 Web 页面的脚本语言而出名,但是它也被用到了很多非浏览器环境中,JavaScript 基于原型编程、多范式的动态脚本语言,并且支持面向对象、命令式、声明式、函数式编程范式。
JavaScript初识及基本语法详解
小小码农
03-13 2661
JavaScript初识及基本语法详解
javascript基础入门教程,javascript零基础入门
阿发狗伪原创
10-24 1051
一门客户端脚本语言,运行在客户端浏览器中的。每一个浏览器都有JavaScript的解析引擎,不需要编译,直接就可以被浏览器解析执行了python for语句用法。//局部变量 用let定义let 变量名 = 值;//全局变量 用var定义var 变量名 = 值;//常量定义 constconst 常量名 = 值;//整数类型var a=3;// Boolean类型var b=true;// 定义小数类型 小数和整数类型统称为number类型。
XSS漏洞简介、危害与分类及验证
jennycisp的博客
06-27 7911
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
一文读懂JavaScript(JS)基础知识大全
最新发布
HTDiiii的博客
08-23 1045
1997 年,JavaScript 1.1 作为一个草案提交给欧洲计算机制造商协会(ECMA)。第 39 技术委员会(TC39)被委派来“标准化一个通用、跨平台、中立于厂商的脚本语言的语法和语义”(http://www.ecma-international.org/memento/TC39.htm)。由来自 Netscape、Sun、微软、Borland 和其他一些对脚本编程感兴趣的公司的程序员组成的 TC39 锤炼出了 ECMA-262,该标准定义了名为 ECMAScript 的全新脚本语言。
XSS漏洞的概念,原理,危害
07-13
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的Web应用程序安全漏洞,它允许攻击者在受害者的浏览器中执行恶意脚本。攻击者通常通过注入恶意代码(通常是JavaScript)来实现这一点,这些代码会在受害者访问受...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值