【安全牛学习笔记】XSS的简述

最新推荐文章于 2024-07-23 15:50:31 发布
最新推荐文章于 2024-07-23 15:50:31 发布
阅读量386 收藏
点赞数
分类专栏: 安全,信息安全,漏洞扫描 文章标签: javascript xss 安全 服务器 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edu_aqniu/article/details/73607023
版权

1.Cross Site SCripting

攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

2.xss漏洞类型

反射型存储型DOM

3.用途

键盘记录盗取cookie重定向 等

4.脚本语言javascipt

AcetiveX5.使用场景

-直接嵌入html<script>alert('x');</script>-元素标签时间 <bodyοnlοad=alert('x')>-图片标签 <imgsrc="jacascript:alert('s');">-其他标签 <iframesrc="javascript:alert('s')">-DOM对象,篡改页面内容

6.攻击参与方

  攻击者
  被攻击者
  漏洞战点
  第三方战点(攻击参与站)

7.漏洞形成根源服务器对用户提交数据过滤不严

提交给服务器的脚本直接返回给客户端执行
爱学习的小牛
关注
专栏目录
网络安全课题以及学术方向总结
学-> 思->用
10-27 498
为适配(碎片化时间)移动端阅读与知识传播,后续持续更新内容,将同步在个人微信公众号:404 Not F0und,同时公众号提供了该项目的PDF版本,关注后回复"智能安全" 即可下载。公众号致力于分享原创高质量干货,包括但不限于:应用安全、机器智能、安全算法、安全数据分析、企业安全建设。知识分享的价值在于既能系统化梳理自己的研究和思考,又可能和他人思维碰撞,发生一些有意思的事情。
Web 前端进阶—— Http 和数据结构 学习笔记
cccloveforever的博客
04-22 690
http 传输的数据都是未加密的,也就是明文的,网景公司设置了 SSL 协议来对 http 协议 传输的数据进行加密处理,简单来说 https 协议是由 http 和 ssl 协议构建的可进行加密传 输和身份认证的网络协议,比 http 协议的安全性更高。https: 是以安全为目标的 HTTP 通道,简单讲是 HTTP 的安全版,即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。http 的连接很简单,是无状态的;
XSS简介
xiaoWhite_meng的博客
04-29 1063
XSS跨站脚本攻击Cross Site Script(ing)    CSS (层叠样式表)      XSS 所使用的攻击代码主要JavaScript    JS能够做到的事情,就是可能受到的攻击。    XSS攻击的是用户、浏览器、客户端    一、XSS   简介       只要没有对用户的输入进行严格过滤,就会被XSS   (如:留言板..聊天室)二、XSS漏洞危害        盗取各...
XSS是什么?小白如何快速入门
weixin_43815032的博客
01-17 1457
一、XSS介绍 XSS攻击,通常指黑客通过“HTML注入”篡改网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的钓鱼/传播恶意代码等行为。 二、XSS的分类 1)反射型XSS 反射型XSS是指通过给别人发送带有恶意脚本代码参数的UR...
XSS-窃取Cookie
最新发布
2401_85783544的博客
07-23 180
XSS攻击-窃取Cookie
XSS挑战
夜思红尘的博客
06-18 401
这里是有关于xss靶场的练习,是一个很常见的靶场。大家前来阅读!!
网络渗透知识
weixin_67611296的博客
04-07 3891
1. Nmap的基本Nmap + ip 6+ ipNmap -A 开启操作系统识别和版本识别功能– T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现-v 显示信息的级别,-vv显示更详细的信息192.168.1.1/24 扫描C段 192.168.11 -254 =上nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 192.168...
漏洞学习笔记1】XSS
weixin_45515936的博客
03-30 1174
漏洞学习笔记1】XSS 跨站脚本攻击(Cross Site Scripting) 一、练习平台 (1):https://xssaq.com/yx/ 对应:https://www.cnblogs.com/bmjoker/p/9446472.html (在线网站练习本地无下载资源没有js代码,参考文章中的js源代码) (2):XSS Chanllenges:http://xss-quiz.int21h.jp/ 对应:https://blog.csdn.net/taozijun/article/details/
WEB安全学习笔记
chenrs727的博客
12-02 1982
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
前端学习笔记
weixin_44360988的博客
10-30 1094
JS js对象是通过引用来传递的,我们创建的每个递归函数是在一个函数通过名字调用自身的情况下造成的 function factorial (num) { if (num <= 1) { return 1; } else { return num * factorial(num - 1); } } call apply bind继承 第二个参数不一样,call()第二个参数是数,apply()第二个参数是数组 模块化:公共&私有方法(闭包) 块级作用域(通常称为私有作用域)的匿名函
学习笔记:入侵检测与防御技术应用
TKE_yinian的博客
03-13 1846
功能介绍 NIP能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击。 Web应用防护: • 互联网中90%的应用都架设在Web平台上,包括网上银行、网络购物、网络游戏、门户网站、企业ERP/CRM等。不论是企业内部应用或是外部网络服务均离不开Web技术,Web技术在承载重要网络应用的同时,也存在着巨大的安全风险。目前,针对Web应用漏洞的攻击已经成为主流,占Web攻击的一半以...
XSS20关练习源码
09-04
包含20关XSS练习的源码。文件都为PHP类型,下载个phpstudy就可以搭建起来了。我已经通过了,所以共享出来给大家练习。
一次复测edu站点的捡漏事件
hackzkaq的博客
01-25 611
更多黑客技能 公众号:暗网黑客 #捡漏点一(存储型xss) #捡漏点二(反射型xss) #捡漏点三(tp框架sql注入) 前言: 在一个悠闲的下午,我正在学习tp框架商城的开发,忽然接到聪哥微信,叫我复测某项目的edu站点,就这样打开burp开启了复测的旅程。 复测历程 捡漏点一(存储型xss) 打开pdf文档,看看各位哥哥交的洞,不过复测嘛,应该都是修好的了,我也没抱着多大希望挖到漏洞。 前面看到一些中间件信息泄露,看了看没有历史漏洞,接着看报告。 不过好像也没什么,就看到一些验证码可重复使用的地方,.
17-xss漏洞
qq_56414082的博客
03-29 687
onload 事件会在页面或图像加载完成后立即发生。onload 通常用于 元素,在页面完全载入后(包括图片、css文件等等。)执行脚本代码。Browser Exploitation Framework(BeEF) BeEF是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透;BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单。启动BeFF-XSS并登陆进去可以通过命令也可以图形化页面。
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 3732
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
某211大学存储XSS+越权+信息泄露+getshell
m0_73049285的博客
04-15 491
前三个都没有,继续跑后面的,其实这边能跑的几率是比较大的,因为普通的大学生或者说普通人设置密码安全意识肯定没有学过网络安全类的人高,就连花某设置密码平常为了方便还是会设置成flower+xxx这种密码​,所以在收集的2,30个人中肯定是会有2,3个人设置弱密码,果不其然。这边的学号啥的我都是不知道的而且这边最后显示的不是注册,显示的是提交所以可以断定注册账号得需要管理员审核信息才能注册,所以我没报啥希望随便编了一个1213311的学号,身份证号码是bing上随便搜的一个身份证。
网络安全学习笔记——盗取Cookies跨站脚本(XSS
just do it
07-24 1591
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
XSS挑战之旅[全20关]上
ldkpolite007的博客
05-06 2597
Contents 0x01 0x02 0x03 0x04 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式
理解Web安全基础:XSS漏洞详解与防护
"007-Web安全基础3 - XSS漏洞.pptx" 这篇文档主要讲解了Web安全领域中的一个重要话题——XSS(Cross Site Scripting)漏洞,它是一种允许恶意攻击者在Web页面中注入可执行脚本的漏洞XSS攻击的主要目标是欺骗用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值