XSS攻击原理解析

最新推荐文章于 2024-06-20 02:49:18 发布
最新推荐文章于 2024-06-20 02:49:18 发布
阅读量191 收藏
点赞数
分类专栏: JS进阶 文章标签: JavaScript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_21250/article/details/82487881
版权
[size=large][b]XSS全称Cross Site Script,跨站脚本攻击[/b][/size]
它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

[size=large][b]主要途径[/b][/size]
1、对普通的用户输入,页面原样内容输出,(用户的输入包括cookie输入)
如链接:http://www.ingchat.com/projdemo/xss/input.html?name=<script>alert(3);</script>
页面上如果拿到name参数,直接 div.innerHTML = name; 则alert(3)执行,若将其修改为获取用户cookie 或者是转账等操作,则后果不堪设想

2、允许用户输入HTML标签
<img src="javascript:alert('xss');"></img>

3、使用16进制来写(可以在傲游中运行)
<img STYLE=”background-image: /75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″>
以上写法等于<img STYLE=”background-image: url(javascript:alert(‘XSS’))”>

[size=large][b]解决办法:过滤输入和转义输出[/b][/size]
1、对提交的内容进行验证,url、查询关键字、http头、post数据
2、输出方面,对用户输入进行严格控制
3、在脚本执行时,应绝无用户输入(应使用server端校验过的安全内容)

[size=large][b]一些工具[/b][/size]
1.插入HTML的文本
需要将&<>'"等符号更新为&,<...等否则有可能被嵌入<script>脚本并执行。 

function encodeParam(param) {
    return param.replace(/&/g, "&").replace(/</g, "<").replace(/>/g, ">").replace(/'/g, """).replace(/"/g, "'");
}


2.插入HTML标签属性(如src等) 

function encodeAttr(attr) {
   return attr.replace(/[&'"<>\/\\\-\x00-\x09\x0b-\x0c\x1f\x80-\xff]/g,
				function(r) {
					return "&#" + r.charCodeAt(0) + ";"
				}).replace(/\r\n/g, "<BR>").replace(/\n/g, "<BR>").replace(/\r/g, "<BR>").replace(/ /g, " ");
}

3.插入HTML内容(innerHTML) 

function encodeHtml(html){
return html.replace(/[&'"<>\/\\\-\x00-\x1f\x80-\xff]/g, function(r) {
			return "&#" + r.charCodeAt(0) + ";"
		});
}

参考:
[url=http://www.frostsky.com/2011/10/xss-hack/]XSS漏洞攻击原理与解决办法[/url]
[url=http://hi.baidu.com/vmfaeoilsnbdloq/item/19111afe95eb4f6b3d1485b6]XSS跨站脚本攻击原理[/url]

[url=https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#XSS_Locator]各种xss方式[/url]

处理方法参考:
[url=http://www.hackdig.com/?03/hack-2299.htm]跨站脚本攻击(XSS)的原理、防范和处理方法[/url]
iteye_21250
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站式脚本(Cross-SiteScripting)XSS攻击原理分析第1/4页
10-30
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
xss基本原理分析
03-17
**XSS(跨站脚本攻击)基本原理分析** XSS,全称为Cross-Site Scripting,是一种常见的网络攻击方式,主要针对Web应用程序。这种攻击允许攻击者在用户浏览器上执行恶意脚本,从而窃取用户的敏感信息,如登录凭证、...
Xss(cross-site scripting)攻击
stonehigher125的专栏
07-04 863
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。 比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户
XSS攻击原理
热门推荐
飞鸟Blog
09-04 1万+
<br />跨站脚本攻击XSS攻击与防范指南 <br /><br />文章目录 <br /><br />XSS攻击与防范指南... 1 <br /><br />第一章、XSS的定义... 1 <br /><br />第二章、XSS漏洞代码... 1 <br /><br />第三章、利用XSS盗取cookies. 3 <br /><br />第四章、防范XSS漏洞... 4 <br /><br />第四章、XSS攻击方法... 4 <br /><br />第六章、利用Flash进行XSS攻击... 6 <br
XSS跨站脚本攻击_反射型跨站脚本攻击需要过滤的字符
最新发布
2301_76224593的博客
06-20 1002
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号。
XSS的攻击原理
asdfghjkl978564的博客
09-19 103
XSS全称cross-site scripting攻击指的是攻击者往Web页面里插入恶意html标签或者JavaScript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。 比如:(1)点击一个看起来安全的链接, (2)恶意的表单传递到攻击者的服务器上 分类:(1)存储型XSS (2)反射型X...
XSS攻击-原理学习
an6992的博客
09-26 567
本文优先发布于简书https://www.jianshu.com/p/04e0f8971890 1、百度百科XSS,跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,通常将跨站脚本攻击缩写为XSS。XSS攻击,通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令...
XSS攻击原理以及手段
weixin_33901843的博客
04-06 165
XSS攻击方式:反射型,存储型 存储型:两者差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用提交XSS代码 反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以称为发射型XSS。 XSS攻击的防范措施 编码 对用户输入...
Yii2的XSS攻击防范策略分析
10-21
本文将详细分析Yii2框架中防止XSS攻击的策略,并探讨其原理与实施方法。 首先,XSS攻击即跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全威胁。攻击者通过注入恶意的脚本到网页中,以试图盗取敏感数据...
XSS攻击实例1
01-11
在本实例"XSS攻击实例1"中,我们将探讨这种攻击的原理、类型以及如何在Asp.net框架下预防。 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意参数的链接,将脚本插入到...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
XSS攻击的基本原理是攻击者通过注入恶意脚本到网页中,当受害者访问这些被篡改的网页时,恶意脚本会在用户的浏览器上下文中执行。为了防范这类攻击,开发者需要对用户输入的数据进行严格的过滤和转义处理。 在...
XSS攻击原理及常见的XSS攻击
weixin_47218056的博客
09-25 6327
一、什么是XSS攻击? XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。 二、反射性X
了解 XSS 攻击原理
baiguomeng
01-06 94
了解 XSS 攻击原理 在看完酷壳写的HTML 安全列表 突然很想写一篇有关 XSS 的快速教学 让更多人能了解何谓 XSS 安全漏洞 在了解 XSS 之前必须知道『网站登入(Session)』的原理 简单的说当会员成功登入后 网站会给浏览器一个『令牌』 之后只要拿着这个『令牌』到网站上 就会被视为已经登入 再来下面是 XSS 最简单的流程 简单的说黑客...
详解 XSS 攻击原理
听得到微笑的博客
10-29 1万+
跨站脚本攻击(Cross Site Scripting)本来的缩写为CSS,为了与层叠样式表(Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS。因此XSS是跨站脚本的意思。XSS跨站脚本攻击(Cross Site Scripting)的本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
155.XSS攻击原理
zjy123078_zjy的博客
02-22 319
XSS攻击: XSS(Cross Site Script)攻击叫做跨站脚本攻击,他的原理是用户使用具有XSS漏洞的网站的时候,向这个网站提交一些恶意代码,当用户在访问这个网站的某个页面的时候,这个恶意的代码就会被执行,从而来破坏网页的结构,获取用户的隐私信息等。 XSS攻击场景: 比如现在有一个发布帖子的入口,如果用户在提交数据的时候,提交一段js代码,比如,,然后网页在渲染的时候直接将该代码渲染...
跨站脚本攻击(XSS)——常见网站攻击手段原理与防御
guugle2010的专栏
04-10 8326
主要是依靠一切可能的手段,将浏览器中可以执行的脚本(javascript)植入到页面代码中,从而对用户客户端实施攻击。这才是我认为在目前这个“大前端时代”xss攻击的定义。 实际上黑客攻击这种行为从本质上讲,就是想尽一切手段在别人的代码环境中执行自己的代码。
XSS 攻击原理
彰彰大人
12-09 1074
XSS攻击场景,攻击原理及防御
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值