Cross-SiteScripting(XSS)跨站脚本攻击

最新推荐文章于 2024-09-05 19:42:47 发布
最新推荐文章于 2024-09-05 19:42:47 发布
阅读量2.3k 收藏 3
点赞数 1
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_37216944/article/details/79054152
版权
本文详细介绍了XSS(Cross Site Scripting)跨站脚本攻击的原理,包括存储型、反射型和DOM型XSS,并阐述了XSS攻击的危害,如挂马、盗取Cookie等。同时,还提到了攻击者如何通过搭建Web服务器来接收Cookie以实现攻击。
摘要由CSDN通过智能技术生成
0X00 原理

XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。

0X01 分类

根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。

DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面,如果这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS。DOM型XSS可能是存储型,也有可能是反射型。

DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。

0X02 危害

关于XSS有关危害,我这里中罗列一段列表,详细介绍不进行更多的赘述:

  • 挂马
  • 盗取用户Cookie。
  • DOS(拒绝服务)客户端浏览器。
  • 钓鱼攻击,高级的钓鱼技巧。
  • 删除目标文章、恶意篡改数据、嫁祸。
  • 劫持用户Web行为,甚至进一步渗透内网。
  • 爆发Web2.0蠕虫。
  • 蠕虫式的DDoS攻击。
  • 蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据
  • 其它安全问题
最低0.47元/天 解锁文章
Shannonnnn
关注
专栏目录
Cross-Site Scripting-跨站脚本攻击
田田云逸的博客
04-28 624
#' onclick=alert('jwt') '</a>闭合后:<a href="#" onclick="alert(1399)">#' onclick='alert(1399)
前端安全(3):预防跨站脚本(Cross-Site ScriptingXSS
imagine_tion的博客
12-10 2559
一、如何预防XSS XSS 攻击有两⼤要素: 攻击者提交恶意代码。 浏览器执⾏恶意代码。 针对第⼀个要素:我们是否能够在⽤户输⼊的过程,过滤掉⽤户输⼊的恶意代码呢? 输入过滤 在⽤户提交时,由前端过滤输⼊,然后提交到后端。这样做是否可⾏呢? 答案是不可⾏。⼀旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。 那么,换⼀个过滤时机:后端在写⼊数据库前,对输⼊进⾏过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?我们举⼀个例子,⼀个正常的⽤户输⼊了 5 < 7 这个内容,在写入数
Cross-site scripting
weixin_34367845的博客
12-03 572
https://en.wikipedia.org/wiki/Cross-site_scripting Definition Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications. XSS enables attackers to i...
经验笔记:跨站脚本攻击(Cross-Site Scripting,简称XSS
最新发布
qq_45831414的博客
09-05 1192
当其他用户浏览该页面时,嵌入的脚本就会被执行,从而可能对用户的数据安全构成威胁。:攻击者构造一个包含恶意脚本的URL,当用户点击这个链接时,恶意脚本会作为查询字符串的一部分发送到Web应用,如果Web应用没有正确处理这个输入,则会将其反射回响应中并在用户的浏览器中执行。:利用现代浏览器的安全功能,如沙箱(Sandbox)模式,它可以限制iframe内的脚本执行能力,从而减少XSS攻击的影响。:对用户的编辑和发布权限进行严格控制,特别是那些能够影响到其他人看到的内容的用户。
Cross-Site ScriptingXSS)简介
weixin_30784945的博客
07-13 316
  最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。   在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。   而在本篇文章中,我们将一步一步深入挖掘XSS的攻击流程,攻击手段,以及防御方法等各个方面。 XSS示...
(原创)攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)
weixin_34032621的博客
09-06 445
声明:本文仅供学习研究之用,对于本文提到的某些网站的XSS漏洞,请读者发扬高尚的人道主义精神不要去危害他人,同时希望相应的网站能够尽快修补XSS漏洞。 简介 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同...
Pikachu靶场-Cross-Site Scripting
梦里明明有六趣,觉后空空无大千
12-28 449
文笔生疏,措辞浅薄,望各位大佬不吝赐教,感激不尽。
跨站式脚本(Cross-SiteScripting)XSS攻击原理分析第1/4页
10-30
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
03-04
新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受...
前端安全之XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-...
网络攻击技术(二)——Cross-site scripting
stilling2006的专栏
01-21 6537
http://www.oschina.net/question/565065_57506 1.1.1 摘要 在本系列的第一篇博文中,我向大家介绍了SQL Injection常用的攻击和防范的技术。这个漏洞可以导致一些非常严重的后果,但幸运的是我们可以通过限制用户数据库的权限、使用参数化的SQL语句或使用ORM等技术来防范SQL Injection的发生,接来了要向大家介绍Cross-s
cross_site_scripting.pdf
05-21
cross_site_scripting.pdf
XSS (Cross-Site Scripting;跨站脚本)
今天的风儿甚是喧嚣
07-07 814
XSS常见漏洞及其防御绕过方法
Web渗透测试-Xss跨站脚本攻击(Cross Site Scripting)
aming小老弟
01-29 4772
Xss通用明文 &&表单劫持 跨站脚本攻击漏洞概念, 漏洞原理和危害, 掌握反射型、存储型XSS漏洞利用方法 每天一个网安开发小技巧——XSS扫描器 – 自动刷SRC w13scan的xss扫描功能进行优化 灵感注入xray所引起的基于语义的扫描技术。 xss扫描之前是w3afxss payload,通常在以下几个部分。 Xsstrike,Xray,Awvs中的检测技巧以及检测参数 XSStrike 先说说Xss
XSS跨站脚本攻击(Cross-site scripting
qq_49841288的博客
07-24 1419
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
Cross-site Scripting (XSS)
kezhen的专栏
03-26 4967
Overview Cross-Site Scripting (XSS) attacks are a type of injection problem, in which malicious scripts are injected into the otherwise benign and trusted web sites. XSS attacks occur when an attacke
XSS(Cross Site Scripting ) 跨站脚本攻击
qq_45866940的博客
09-01 345
XSS(Cross Site Scripting ) 跨站脚本攻击 恶意攻击者往Web页面中插入了恶意Script代码,用户浏览该页面时,嵌入Web里面的代码被执行,达到恶意攻击用户的目的 XSS分为:存储行,反射型,DOM型XSS 反射型XSS攻击 攻击流程: 1.黑客发送带有XSS脚本的链接 2.用户点击恶意链接,访问目标服务器 3.网站将XSS同正常网页返回到用户浏览器 4.用户浏览器解析了XSS恶意代码,向恶意服务器发起请求 5.黑客从自己搭建的恶意服务器拿取用户信息 反射型XSS:非持久化,需要
XSS Cross-site scripting
lay_loge的博客
03-26 491
Cross-site scripting简称跨站脚本攻击,通常也称为XSS。 参考 一、XSS的危害 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力 3、盗窃企业重要的具有商业价值的资料 4、非法转账 5、强制发送电子邮件 6、网站挂马 7、控制受害者机器向其它网站发起攻击 二、XSS的分类 XSS主要可分为三种,...
Cross-Site Scripting (XSS)
chengyongyou6502的博客
07-21 881
Cross-Site Scripting (XSS) What Is XSS? Cross-site scripting(XSS) is a type of web application vulnerabilitythat enables the attac...
Java开发中防范XSS跨站脚本攻击策略
"XSS跨站脚本攻击在Java开发中防范的方法" XSS(Cross-Site Scripting)攻击是Web应用程序普遍面临的一种安全威胁。它允许攻击者在受害者的浏览器中执行恶意脚本,通常通过注入恶意代码到合法的网页中实现。在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值