XSS原理剖析【基础篇】【原创】

最新推荐文章于 2023-04-30 11:15:00 发布
最新推荐文章于 2023-04-30 11:15:00 发布
阅读量510 收藏 1
点赞数
分类专栏: xss XSS漏洞 文章标签: 前端 漏洞 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/douyuchen_jl/article/details/51829033
版权

引题

许多人对于XSS的理解都走进了一个误区,

仅仅局限于一个alert弹窗,并没有什么卵用

见到框框就X,疯狂的去想如何绕过,下面我会给大家讲一下我对XSS原理的理解,对XSS类型的漏洞如何去挖掘。如果你认为XSS不算可以利用的漏洞,可以直接关闭此窗口。

正文

首先,我个人将XSS漏洞的原理理解为客户端与服务端交互时,服务端将客户端传输的恶意数据经过过滤/未过滤地方式完整写在了前端页面的源码里,这就导致了XSS漏洞的形成。

有很多刚入门的同学,在挖洞的时候,见到框框就输入

            <script>alert('xss');</script> 
            "><script>alert('xss');</script>

来判断一个页面是否有一个XSS漏洞,显然这种方法可能对于某些站点还是有效果的,但是没理解漏洞的实质,你怎么去用它呢?

大家要知道一个问题,我们挖掘XSS漏洞是为了什么,难道仅仅是为了一个alert一个XSS出来装B用吗?很多厂商对于XSS的理解也仅仅是局限于此,导致XSS漏洞还是如此横行霸道的出现在我们面前。面对这些情况,我们要清楚,挖掘XSS是为了要执行我们外部的Js代码,而不是为了一个alert。

0×00 防御

“你说了这么多,怎么还不教我们怎么挖洞!”,别急,别急,我们想要攻击,必先学会防守ÿ

最低0.47元/天 解锁文章
douyuchen_jl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS(偷你的Cookies)
qq_27552077的博客
03-12 1万+
XSS(Cross Site Scripting),跨站脚本攻击,取名XSS是避免和CSS同名。XSS攻击原理:攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。同时这也因为HTTP采用的明文模式,这样就让黑客有机可乘了(在我另一篇文章介绍过利用fiddle可以捕获HTTP报文)。我发现网上很多关于XSS攻击的文章都没
心伤的瘦子腾讯xss系列(21篇)
11-11
这一系列教程共计21篇文章,专门针对腾讯网站进行实战分析,旨在帮助读者理解和掌握XSS攻击的各种技巧和防御策略。 XSS,即Cross-Site Scripting,是一种常见的Web应用程序安全漏洞,攻击者可以通过在网页中注入...
网络常见攻击(知识点总结)
weixin_69884785的博客
04-30 6173
SQL注入漏洞(SQLIniection)是Web开发中最常见的一种安全漏洞。SQL注入漏洞就是通过SQL参数替换形成特殊SQL操作。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
WxPython(二) -- 编码问题 u‘中文‘
你的外祖父的博客
10-10 488
编码问题对于开发的程序员来说并不陌生,相信每个程序员在开发的路上都有遇到过乱码的问题,在python下也是如此,接下来就来看看python是如何进行编码的。 python内部使用的是unicode编码,而外部却要面对千奇百怪的各种编码,比如gbk,gb2312,utf8等,那这些编码是怎么转换成内部的unicode呢? 在pyhon中,源代码文件必然是以某种编码形式存储代码的,python编译器默认会认为源代码文件是asci编码,就好比如现在有一个变量 ‘a’,然后进行日志打印,python认为这个’a’就
XSS 代码总结
bcbobo21cn的专栏
12-08 1万+
XSS跨站测试代码大全 http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html '>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3
收集一些常见的webshell后门的特征码
blogfeifei
02-26 756
一些常见的webshell(asp,aspx,php,jsp等)后门木马。 什么是一句话木马?不了解的朋友百度一下。 一句话木马具体有以下这些,这些都是自己平时收集的。(当然收集不齐全,希望大家帮忙完善~) ============================ asp一句话木马:&lt;%%25Execute(request("a"))%%25&gt;&lt;%Execute(requ...
ASP.Net程序设计基础
08-22
本篇主要介绍ASP.NET程序设计的基础知识,包括基本概念、开发环境搭建、页面生命周期、控件使用、数据绑定以及部署等关键点。 1. **基本概念** ASP.NET是一种服务器端的技术,它允许开发人员使用多种编程语言(如...
第五期月刊—进击的XSS.pdf
08-08
XSS原理分析与解剖(第二篇 XSS原理分析与解剖:第三章(技巧篇) XSS原理分析与解剖:第四章(编码与绕过) XSS通关小游戏以及我的挑战思路分享 WEB 安全系列之如何挖掘 XSS 漏洞 XSS绕过之前端绕过 实战...
web测试安全篇PPT课件
05-17
总的来说,Web测试安全篇涵盖了从代码审查到系统架构分析的多个层面,确保Web应用在复杂的安全环境中保持稳定和安全。这需要测试人员具备深厚的Web安全知识,熟练使用自动化工具和进行手动测试,以防止和应对各种...
Web安全渗透测试基础入门篇视频.rar
08-13
Web安全渗透测试基础入门篇001ppt WEB爆破口令工具实现原理解析.wmv WEB各个架构信息探针补充Wmv WEB各个架构信息探针实战wmv WEB目录文件扫描工具实现原理解析.wmv WEB伪造数据包进行XSS攻击演示wmv 基于S平台搭建...
(转)一种DOM XSS检测思路
weixin_30247159的博客
08-29 421
转自:http://hi.baidu.com/1984holmes/blog/item/ca0cd055596007183b29357f.html 如果你不清楚什么是DOM XSS,请先学习一遍webappsec上的paper《DOM Based Cross Site Scripting or XSS of the Third Kind》(http://www.webappsec.org/pro...
XSS编码剖析
Anonymity
04-23 574
转载:https://www.freebuf.com/articles/web/43285.html 0x00 引言 很多不了解html、js编码的童鞋挖掘xss漏洞时,都是一顿乱插,姿势对了,就能获得快感,姿势不对,就么反应。另外在freebuf里,有很多文章介绍过跨站编码,有兴趣的,可以搜索下。 本文介绍常见的编码方法,能力不足,如有其他意见,请指正。 0x01 常用编码 URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字,例如“/”的URL编码为%2F(一般大写,但不强求) HTM
XssFilter过滤之后导致@RequestBody无法解析的参数的问题
SugarSunset的博客
05-19 3783
问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。 原因:在工程中定义了处理请求的MessageConverter。而定义的Converter对编码有要求。 本质:(以下为个人理解) spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入流。我们使用fastJsonMessag...
XSS漏洞总结之小试牛刀
热门推荐
MX的博客
06-20 1万+
一:XSS漏洞总结 1&amp;amp;amp;gt;:简介 XSS是跨站脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 2&amp;amp;amp;gt;: 分类及危害 XSS分类: 反射型: 非持久性XSS攻击,当用户访问已被插入攻击代码的链接时,攻击代码执行,完成该次攻击。 存
3大Web安全漏洞防御详解:XXS,CSRS以及SQL注入
谢谢你,慌乱了我的年华
12-27 1577
基本的web安全知识,你们知道有多少种web安全漏洞吗?这里不妨列举10项吧,你们可以自己去网站找相应的教程来提升自己的 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL inje...
XSS漏洞及其原理(详解)
刘桂香263的博客
07-29 1万+
XSS被称为跨站脚本攻击(CrossSiteScripting),由于和层叠样式表(CascadingStyleSheets,CSS)重名,改为XSS。主要基于JavaScript语言进行恶意攻击,因为js非常灵活操作html、css、浏览器。
Laravel之模板继承、不解析模板和防xss攻击
qq_46179813的博客
05-19 489
1、模板继承 <!-- 继承parent模板 --> @extends('parent') <!-- 修改它的left属性 --> @section('left') <h1>这是模板继承</h1> @endsection 子类 <!-- 继承parent模板 --> @extends('parent') <!-- 修改它的内容 --> @section('content','Blade之继承') @parent <!
详解 XSS 攻击
我是张跑跑
03-08 1391
文章目录XSS 攻击1. 前言2. 反射型(url)3. 存储型(表单)4. DOM型(onerror)5. 防御方案 XSS 攻击 1. 前言 XSS (Corss Site Scripting)也即跨站脚本攻击,攻击出现的原因一般是因为 Web 程序对用于的输入过滤不足导致的一种漏洞,攻击者可以把恶意的脚本代码注入到网页之中,当其他用户浏览时就会执行其中的恶意代码,对受害者产生各种攻击。XSS 一般分为三种类型: 反射型,存储型,DOM型 2. 反射型(url) 反射型 XSS 攻击的恶意脚本并没有被存
前端安全之XSS攻击
weixin_34381666的博客
02-18 1154
XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-based or local XSS(基于DOM或本地的XSS攻击) Reflected XSS 基于反射的...
java代码审计 入门篇
最新发布
08-24
了解常见漏洞的原理和利用方式,通过测试用例和代码分析来发现漏洞。 6. 学习安全修复和防御措施:了解常见的安全修复和防御措施,如输入验证、输出编码、参数化查询等。学习如何修复漏洞和提高代码的安全性。 以上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值