三种xss攻击

最新推荐文章于 2023-03-04 19:00:00 发布
最新推荐文章于 2023-03-04 19:00:00 发布
阅读量5.5k 收藏 1
点赞数
文章标签: xss 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/economics3/article/details/123601609
版权

如何做一次xss攻击

xss攻击是攻击者向某个网页注入恶意代码。那么如何向一个网页注入代码?

  1. 表单,我们在浏览器中输入的内容会被当做浏览器url的查询参数
  2. url,可以在url直接设定参数
  3. 使用js伪协议,参考:https://www.jb51.net/article/52358.htm

特别是最后一种伪协议,很多人都没用过。

xss攻击分类有多形式,我先按照dom和非dom模式进行区分。

非dom模式

在非dom模式中,注入的恶意代码都会被发往服务器,服务器对于这段恶意代码会有不同的处理。

1.假设发送过来的数据(内部其实是恶意代码)是评论这类所有用户都可见的内容的话,这个数据要保存在数据库中。以后所有的用户如果需要访问这条评论的话都会执行这段恶意代码

这类xss攻击称为存储型xss攻击

2.假设发过来的数据仅仅是经由服务端做简单的处理之后返回给客户端的话,客户端会执行这段恶意代码。这类攻击称为反射型xss攻击

基于DOM的xss攻击

dom这个多层次的文档对象模型就不需要过多的介绍。

这种攻击方式不会将恶意代码发送到服务器,仅仅是将你的恶意代码在前端执行,很多人疑惑这段代码是怎么执行的,使用的就是伪协议。

<a href="javascript:alert('aa')">hello</a>

可以将这段代码放置在HTML进行尝试下,点击之后就会提示警告

当然还有其他方式,比如在 style 属性和标签中,包含类似 background-image:url(“javascript:…”); 的代码(新版本浏览器已经可以防范)。

防范

可以看到三种攻击方式的本质就是两点:
1.攻击者提交恶意代码到服务器
2.浏览器本地执行恶意代码

美团前端团队的文章讲述的很好了

如何防范xss攻击

sdKdqweas
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端安全之XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击。1.做个假设,当亚马逊在搜索书籍,搜不到书的时候显示提交的名称。2.在搜索框搜索内容,填入“[removed]alert('handsomeboy')[removed]”,点击搜索。3.当前
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的朋友可以参考下
XSS 漏洞
Just a Blog
05-01 1564
XSS 漏洞
xss攻击的了解
七月
10-12 908
常见的xss攻击方法 1.绕过XSS-Filter,利用&lt;&gt;标签注入Html/JavaScript代码; 2.利用HTML标签的属性值进行xss攻击。例如:&lt;img src=“javascript:alert(‘xss’)”/&gt;;(当然并不是所有的Web浏览器都支持Javascript伪协议,所以此类XSS攻击具有一定的局限性) 3. 空格、回车和Tab。如果XSS ...
XSS -- 三种基本漏洞 (浅谈)
thj_blog
11-13 7154
一、  XSS 漏洞的验证         我们可以用一段简单的代码,验证和检测漏洞的存在,这样的代码叫做PoC(Proof of Concept)。验证XSS 漏洞存在的PoC 如下:               (1)&lt;script&gt;alert(/xss/)&lt;/script&gt;                      (2)&lt;script&gt;confirm('...
XSS防注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4259
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
php伪协议xss,XSS漏洞学习
weixin_33028765的博客
04-08 384
XSS漏洞的原理XSS漏洞是发生在目标网站中目标用户的浏览层面上,当用户浏览器渲染整个HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就会发生。XSS漏洞的危害获取用户或者管理员的CookieXSS蠕虫钓鱼攻击挂马键盘记录等以下是可能嵌入跨源的资源的一些示例: 标签嵌入跨域脚本。语法错误信息只能在同浪脚本中捕则,CSS的跨域需要一个设置正确的 Content-Type消息头。不同浏览...
关于xss攻击解决方案
susanliy的博客
01-11 2734
如何防止XSS攻击?1.innerHTML —xss攻击2.DOMParser().parseFromString()–性能最差,会受到xss攻击3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全4.insertAdjacentHTML()–会受到xss攻击5.createContextualFragment ()–安全性能差,会受到xss攻击
xss攻击类型与防止xss攻击解决方案
08-05
NULL 博文链接:https://unionhu.iteye.com/blog/1952581
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
xssProject所需jar包
11-20
防止XSS攻击的开源Java组件
CSRF
打代码的小女孩
01-13 604
CSRF概念:跨站点请求伪造(Cross—Site Request Forgery) 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web...
xss靶场通关
爱吃仡坨的Blog
09-27 434
1、利用标记,构造标签执行JavaScript的xss代码2、利用html标签属性支持Javascript:script()伪协议(支持标签属性的有href、lowsrc、bgsound、background、value、action、dynsrc等)、执行xss代码3、利用JavaScript在引号中只用分号分割单词或强制语句结束,用换行符忽略分号强制结束一个完整的语句,而忽略回车、空格、tab等键、绕过对javascript的关键字过滤,
安全攻防之XSS
weixin_57543652的博客
03-04 786
在万物互联的时代,数据安全与个人隐私受到前所未有的挑战,各种攻防策略层出不穷,深入了解攻防底层的原理刻不容缓。本文旨在将日常开发上遇见的问题作总结,通过不断补全安全攻防方面的知识,形成对安全攻防体系有良好的运用。
XSS篇——javascript:伪协议
weixin_50464560的博客
05-07 5930
一、前言 今天,遇到一个别人挖的坑,问题是这样的。 做了一个列表页,可以筛选数据,有很多筛条件。主要是有input复选框和<a>标签两种。如图:     其中房价的筛选条件使用<a>标签,代码如下 1 <a href="javascript:;" name="price">150元-300元</a>   用javascript:; 来阻止了a标签跳转链接。 但是,却发现在IE下面点击a标签,居然清除了其他input复选框.
xss解决方案
u013029883的博客
08-10 1127
XSS介绍 跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻击原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符时,
XSS学习笔记(未完)
星落
11-01 999
XSS学习笔记
什么是XSS攻击,一共有哪些分类
最新发布
06-07
XSS(Cross-site scripting)攻击是指攻击者在网页中注入恶意脚本,使其在用户浏览网页时执行,从而利用漏洞窃取用户的敏感信息或者控制用户的浏览器行为。 根据攻击手段和攻击目标的不同,XSS攻击可分为以下几类: 1. 反射型XSS攻击:攻击者将恶意脚本注入到URL中,当用户点击链接时,恶意脚本会被浏览器解析执行,从而实现攻击目的。 2. 存储型XSS攻击:攻击者将恶意脚本注入到网站的数据库中,当用户浏览网站时,恶意脚本会被服务器发送到用户浏览器并执行,从而实现攻击目的。 3. DOM型XSS攻击:攻击者利用浏览器解析HTML代码的方式,将恶意脚本注入到网页中,当用户浏览网页时,恶意脚本会被浏览器解析执行,从而实现攻击目的。 针对不同类型的XSS攻击,我们需要采取不同的防御措施来保护网站和用户的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值