XSS攻击

最新推荐文章于 2024-03-07 16:01:34 发布
最新推荐文章于 2024-03-07 16:01:34 发布
阅读量1.3k 收藏
点赞数
分类专栏: web安全 文章标签: XSS 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/letterTiger/article/details/81262887
版权

XSS全称叫做Cross Site Scripting(跨站脚本攻击),之所以不叫CSS是应为和层叠样式表重名(CSS)。

被攻击的原因就是执行了非本站的脚本,该脚本有无边恶意,会盗取用户信息(cookie等登录信息,页面上的其他一切信息)。

XSS攻击又被分为两种,一种是反射型,另一种是存储型

反射型指的是攻击脚本并没有存入网站数据库,而是隐藏在链接中,通过连接传播。只要用户点击了链接就很可能会被盗取信息。

存储型指的是攻击脚本被存入了网站数据库所以在链接上看不出来一点异样,更加的隐蔽,破坏性更大。

攻击手段

通过反射型的方式,当一个网页会获取url中的参数展示在页面上并且没有对获取到的数据进行转义或者进行的转义有漏洞,那么就会存在被攻击的风险。

例如,http://www.abc.com?a=<script>alert(1)</script>这样一个连接,当参数a在页面上展示的时候,如<div>{{a}}</div>,就变成了<div><script>alert(1)</script</div>,此时这段代码就会被执行,如果这段代码做的不是弹出一个1这么无聊的事情,而是获取cookie,然后通过Ajax发送cookie到自己的服务器,后果可想而知了。传播的话就是把这个链接发送给别人,例如:<a href="http://www.abc.com?a=<script>alert(1)</script>">点我领取5块钱</a>或者将链接做一个短网址消除疑虑,直接散播出去。

通过存储型的方式,在一个网站留言的地方输入一段脚本,例如:提交。当用户来到这个页面的时候这段脚本就会执行。

防御

就是对于一切来自用户的数据保持怀疑警惕的态度,对于一切来自用户的数据进行转义。而转义的时机有两个,一个在数据存入数据库之前,一个是在数据展示在页面上之前,我个人建议在存入之前转义,这样就只用转义一次即可,而如果是在展示之前转义的话展示一次就需要转义一次。

具体转义的对象就是一些 / ” < > 之类的特殊字符,防止形成可执行脚本。

总结

XSS的危害很大,并且在国内并没有相对应的重视程度,并且XSS攻击的形式很多,所以要时刻关注自己网站的相关安全问题,一发现异常要即使处理。

葡萄糖o_o
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
2.xss
weixin_41826065的博客
12-07 1272
XSS
解决xss转义导致转码的问题
weixin_39555954的博客
08-15 1226
解决xss转义导致转码的问题
渗透测试[xss脚本攻击]
最新发布
npc88888的博客
03-07 1047
相反,攻击者利用前端JavaScript代码中的漏洞,直接在用户的浏览器中修改网页的DOM结构,导致恶意脚本被执行。举个例子,假设一个网页上有一个搜索框,用户在搜索框中输入内容后,网页会通过JavaScript代码将用户的输入显示在页面上。如果网页没有对用户输入进行适当的验证和转义处理,那么攻击者可以构造一个恶意输入,其中包含恶意脚本,比如。在网站是否存在 xss 漏洞时,应该输入一些标签如输入后查看网页源代码是 否过滤标签,如果没过滤,很大可能存在 xss 漏洞。登录后台,就会执行这个代码。
xss尖括号等被转义情况下的绕过测试
热门推荐
z1moq的博客
07-25 1万+
打开靶场 目标网站存在反射型xss漏洞,我们使用常用的方法进行测试 发现并无作用,打开网站源码查看问题情况 确实后端会将用户输入的数据无过滤直接返回前端,但是存在个别符号被转义的问题,导致无法正常弹窗 通过查找资料可知,可以通过使用三重url编码的方式绕过这一问题 尝试使用此方法进行绕过 emmmmmmm发现并不行 尝试使用编码绕过 发现也被转义了 既然无法实现转义的绕过,就再次仔细观察前端页面代码 发现在form表单中也会直接显示,并且发现 value 的值是由单引号闭合,且单引号在前几次测
这一次,彻底理解XSS攻击
qq_42801460的博客
03-29 240
防范 XSS 是不只是服务端的任务,需要后端和前端共同参与的系统工程。虽然很难通过技术手段完全避免XSS,但我们原则上减少漏洞的产生。
全网最详细 XSS 跨站脚本攻击,不是过来打死我!!
liuhyusb的博客
06-21 751
​。
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
xssed-master.zip
03-17
xssed靶场,对xss漏洞全面练习,适合新手练习xss,web安全,渗透,漏洞基础,典型漏洞,漏洞原理刨析,搭建在自己虚拟键,带源码,多分析 ,仅供学习,不得用于非法,否则与本人无关
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
所有需要的文件均在里面,超有所值
PHP如何防止XSS攻击XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
Web应用程序中XSS攻击的检测:一种机器学习方法-研究论文
05-20
随着互联网使用的增加,Web应用程序和网站变得越来越普遍。 随着使用的增加,对Web... 本文旨在使用机器学习来使用各种ML(机器学习)算法来检测XSS攻击,并比较算法在检测Web应用程序和网站中的XSS攻击方面的性能。
springboot2.x使用Jsoup防XSS攻击的实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
xss攻击突破转义_给XSS加点S
weixin_39636717的博客
11-20 665
TOC:约定本文中出现由花括号包裹的内容为服务端进行 html 字符串拼接的动态内容:{ userData },在其他文章中经常表现为 <%= userData >。本文中所使用的关键词:“用户数据”,与“非受信数据”同义。XSS 简介XSS 是一种代码注入攻击,在受害者浏览器上注入恶意代码并执行,本质是前后端渲染不受信任的用户数据导致的安全问题。不受信任的用户数据指的是由用户提供的数...
xss攻击突破转义_跨站脚本攻击XSS笔记
weixin_39724362的博客
11-21 519
简介XSS:Cross Site ScriptingCross Site(跨站):对于跨站的理解是,XSS攻击是发生在目标主机的浏览器上的Scripting(脚本):XSS攻击重点在于“脚本”,在目标服务器执行恶意的Script脚本从而达到攻击目的。为什么会出现XSS? 浏览器怎样解析页面? 浏览器页面的内容可由html、css、Javascript三者相互配合形成,其中html贯穿整个页面,负责...
XSS是什么?(Xmind配文详解)
weixin_55832111的博客
03-27 1万+
一张图带你详解XSS (话不多说上图) 一、什么是 XSS XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。 (是不是有人就会有疑问了,缩写不应该是CSS吗?因为CSS(层叠样式表)是一种用来表现文件样式的计算机
django xss攻击
06-12
Django已经内置了一些安全性保护机制,可以帮助开发者预防XSS攻击。以下是一些防范XSS攻击的措施: 1. 对用户输入进行过滤和转义。Django提供了多种过滤和转义函数,如escape、escapejs、striptags等,可以有效地防范XSS攻击。 2. 使用Django的模板引擎。Django的模板引擎可以自动对HTML进行转义,避免了手动转义的繁琐和出错的可能性。 3. 设置CSP(Content Security Policy)。CSP可以指定网站只能从哪些来源加载资源,从而限制XSS攻击的范围。 4. 使用HTTPS。HTTPS可以加密用户和服务器之间的通信,防止中间人攻击和劫持。 5. 及时更新Django版本。Django的更新版本通常都会修复已知的安全漏洞,及时更新可以避免被已知的攻击手段攻击。 以上是一些防范XSS攻击的措施,但是并不能保证100%防范XSS攻击。因此,在编写代码时需要时刻保持警惕,对用户输入进行充分的验证和过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值