XSS类型

最新推荐文章于 2024-07-09 18:08:01 发布
最新推荐文章于 2024-07-09 18:08:01 发布
阅读量997 收藏
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cindy_cao/article/details/54598482
版权

几种类型

1、反射型XSS

  • 只是简单的把用户输入的数据“反射”给浏览器,即用户输入的参数直接输出到页面上
  • 常出现再网站的搜索栏、登录等地方,常用来窃取客户端Cookies或进行钓鱼欺骗
  • 着重测试输入框,URL参数。所有来自cookie、post表单、http头的内容都可能会产生XSS

2、存储型XSS

把用户输入的数据“存储”在服务器上,这类XSS具有很强的稳定性。因此,存储型XSS也可以称之为“持久型XSS”,因为从效果上来看它存在的时间比较长。

3、DOM Based XSS

通过修改页面的DOM节点形成的XSS。也是反射型XSS的一种,因为形成原因比较特别,单独拎出来。

构造数据方法:

1)在已有的标签内添加事件

2)闭合原来的标签,插入新的标签

cindy_cao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 预防XSS攻击
08-23
1. **理解XSS类型**: - **存储型XSS**:攻击者的脚本被存储在服务器上,如论坛帖子、评论等,当其他用户访问这些内容时,恶意脚本会被执行。 - **反射型XSS**:恶意脚本作为URL参数的一部分,通过诱使用户点击...
渗透测试-xss的三种类型讲解
lza20001103的博客
08-07 4146
渗透测试-xss的三种类型讲解
XSS类型详解
a_helloworlds的博客
03-28 2595
(1)反射型(reflected xss): 基于反射性攻击,依靠服务端反回的脚本,在客户端执行,形成web攻击。 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返 回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。 例子: ...
【网络安全的神秘世界】XSS基本概念和原理介绍
最新发布
weixin_54750312的博客
07-09 984
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
m0_64378913的博客
05-13 2万+
目录1 XSS漏洞简介2 XSS漏洞危害3 XSS漏洞分类3.1 反射型XSS3.2 存储型XSS3.3 DOM型XSS3.3.1 节点树模型3.3.2 DOM型XSS4 漏洞验证4.1 漏洞验证相关概念4.2 漏洞验证相关概念之间的区别4.3 常见POC5 XSS漏洞验证实例5.1 反射型XSS漏洞验证实例5.2 存储型XSS漏洞验证实例5.3 DOM型XSS漏洞验证实例6 总结参考文章 1 XSS漏洞简介 定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是
XSS漏洞三大类型
一醉一休的博客
03-03 6643
(1)跨站脚本( Crbss - Site Script ),为了跟层叠样式表( Css )区分开来,简称 xss,它是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种 (2)产生原因: XSS的产生是由于 WEB应用程序对用户输入的过滤不足而产生的,攻击者利用该漏洞把恶意脚本注入到网页之中,当其他用户浏览网页时,就会执行其中的恶意代码。受害用户可能会被窃取cookie 、会话劫持,钓鱼等各种攻击 (3)XSS漏洞常出现的位置:各种留言板,搜索框,备注,反馈意见,评论处等等 (4)pikac
XSS漏洞简介、危害与分类及验证
2201_75362610的博客
04-14 2127
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
springboot整合XSS
03-20
XSS攻击主要分为三种类型:反射型、存储型和DOM型。反射型XSS发生在用户点击含有恶意脚本的链接时,恶意代码会立即执行。存储型XSS则是在用户提交的数据被存储到服务器,并在后续页面展示时执行。DOM型XSS则利用了...
XSS学习大全
05-02
1. 反射型XSS:这种XSS类型依赖于用户的点击或访问一个包含恶意脚本的链接。恶意代码通过URL参数传递,并在页面加载时立即执行。由于这类攻击是临时的,所以需要诱使用户点击才能生效。 2. 存储型XSS:在服务器端...
Xss Scan tool
05-25
XSS漏洞通常分为三种类型:反射型XSS、存储型XSS和DOM型XSS。Burp ReflectiveXssMiao插件主要针对的是反射型XSS,这种类型的漏洞存在于动态生成的页面中,当用户点击一个包含恶意脚本的链接或提交包含恶意数据的表单...
xss平台源码
09-28
根据攻击方式的不同,XSS通常分为三种类型:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者构造一个包含恶意脚本的URL,诱使用户点击,当用户访问这个URL时,恶意脚本在用户的浏览器中执行。 2. 存储型XSS...
xss的部分攻击类型
2301_79388116的博客
02-11 508
之所以称为反射型XSS,是因为这种攻击方式的注入代码是从目标服务器通过错误信息、搜索结果等等方式“反射”回来的:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。存储型XSS,又称持久型XSS,他和反射型XSS最大的不同就是,攻击脚本将被永久地存放在目标服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。
网安入门16-XSS(三种类型
m0_61499194的博客
02-26 1241
XSS漏洞,全称跨站脚本攻击(Cross-Site Scripting),是代码注入的一种。它允许恶意用户将代码注入到网页上,原理是攻击者将恶意代码注入到可信网站的页面中,当用户浏览该页面时,恶意代码就会被浏览器执行,从而达到攻击者的目的。盗取用户敏感信息,如Cookie、账号密码等;控制用户浏览器,进行钓鱼攻击、重定向等;篡改网页内容,进行欺诈等。反射型XSS:攻击者将恶意代码通过URL参数、表单提交等方式注入到目标网页中,当用户访问该网页时,恶意代码就会被执行;存储型XSS
XSS漏洞类型原理及防御方式
weixin_54786196的博客
10-15 769
XSS全称是Cross Site Scripting即跨站脚本,为了与层叠样式表Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS,其本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
XSS攻击
一种感觉的博客
07-14 592
XSS攻击1.XSS攻击原理2.如何防御? 1.XSS攻击原理 常见的 XSS 攻击有三种:反射型XSS攻击、DOM-based 型XXS攻击以及存储型XSS攻击。 1).反射型XSS攻击反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进行钓鱼欺骗。 2).存储型XSS攻击:主要将XSS代码
关于xss的三种类型详解
土拨鼠挖洞中的博客
04-12 1万+
一、简介什么是XSS?百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实...
XSS的分类和原理
2301_80361487的博客
01-24 982
XSS漏洞分类 1、反射型(非持续型) 2、存储型(持续型) 3、DOM型 反射型(Reflected Cross-site Scripting) 反射型xss也称作非持久型、参数型跨站脚本。 主要用于将恶意脚本附加到URL地址的参数中。 产生层面:前端 漏洞特征:一次性的、前端执行、不会储存在后端数据库 危害等级:中 反射型XSS攻击原理 反射型XSS原理 反射型XSS形成的一个过程 反射型 XSS 反射型 XSS 的攻击步骤: 攻
什么是XSS攻击?分为哪几类?
oldboyedu1的博客
03-10 865
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。网络安全中常见的攻击手段有很多,大致包括这些:DDoS攻击、XEE攻击、XSS攻击、CSRF攻击、SSRF攻击等。XSS主要分为:反射型XSS、存储型XSS、DOM型XSS三种攻击类型,而每种类型的攻击原理都不一样。其中反射型XSS和DOM-based型XSS可以归类为非持久型XSS攻击,存储型XSS归类为持久型XSS攻击。
整理常见的三种XSS攻击类型
热门推荐
Edon-Du的博客
06-07 2万+
什么是XSS? 简单的说就是没有做好校验,因为前端的用户输入的数据别人可以拦截,然后嵌入一些脚本代码或者其它的而达到不良的结果,有点类似与sql注入的攻击。 百科的一段介绍: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到...
用PHP写一个反射型xss类型为输入的示例
02-21
一个简单的示例可以是: class ReflectedXSS { public function input($data) { echo '<script>alert("'.htmlentities($data).'")</script>'; } }$r = new ReflectedXSS(); $r->input($_GET['data']);...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值