XSS 的三种类型及区别

于 2024-10-10 22:10:46 发布
阅读量2.8k 收藏 13
点赞数 26
分类专栏: 前端 文章标签: xss 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/142833490
版权

目录

XSS 的三种类型及区别

一、反射型 XSS(非持久型 / 参数型)

二、存储型 XSS(持久型)

三、DOM 型 XSS

四、三种类型的区别

在网络安全领域,XSS(跨站脚本攻击)是一种常见的安全漏洞。本文将介绍 XSS 的三种类型,包括反射型、存储型和 DOM 型,并分析它们之间的区别。

一、反射型 XSS(非持久型 / 参数型)

  1. 定义:反射型 XSS 也被称为非持久型或参数型跨站脚本攻击。其恶意代码并没有保存在目标网站,而是通过诱导用户点击一个包含恶意链接的 URL 来实施攻击。
  2. 案例
    • 发送一个恶意链接给别人,当别人点击该链接访问目标网站时,会出现弹窗。例如:“我这边有这样的一个链接,把这个链接发给别人,别人访问一下就会有一个弹窗。”
    • 在网页上输入一段 JS 脚本代码并提交,会有一个弹窗,但这一次执行完后就没有了。例如:“我们在这边输入一个随便输入一个东西,然后输入一段 JS 脚本,提交哎它会有一个弹窗,这一次执行完后就没有了,所以也叫做非持久型。”
  3. 处理方式:由后端进行处理。
  4. 恶意代码存储位置:恶意代码存在 URL 里。

以下是一个反射型 XSS 的示例代码:

<!DOCTYPE html>
<html>

<body>
  <a href="http://example.com/?param=<script>alert('反射型 XSS')</script>">点击我</a>
</body>

</html>

二、存储型 XSS(持久型)

  1. 定义:存储型 XSS 也被称为持久型跨站脚本攻击。其恶意代码会存储在目标网站的服务器端,比如数据库或特定的文件中。
  2. 案例:在留言区输入恶意代码,这些代码会存储在服务器端的文档(如 message.txt)中。当有人访问该页面时,就会加载恶意代码并执行弹窗。例如:“在我们的一个留言区留言,它会存在我们的一个服务器端,在我这里呢就是写了一个文档,它这边会存在这个 message.txt 里面,只要有人访问到了这样的一个页面的时候,它就会加载我们的恶意恶意代码,就会执行这样的一个弹窗,所以它是一个持久型的。”
  3. 处理方式:由后端进行处理。
  4. 恶意代码存储位置:存在服务器端。

以下是一个存储型 XSS 的示例代码:

<!DOCTYPE html>
<html>

<body>
  <form action="submit_comment.php" method="post">
    <textarea name="comment"></textarea>
    <input type="submit" value="提交">
  </form>
</body>

</html>

假设提交的评论被直接存储到数据库中,并且在显示评论时没有进行适当的过滤和转义,那么当其他用户访问包含该评论的页面时,就可能触发存储型 XSS 攻击。

三、DOM 型 XSS

  1. 定义:DOM 型 XSS 是通过修改网页的 DOM 节点形成的 XSS 攻击。所有的处理都是通过前端来进行的,前端可以直接修改 DOM 节点。
  2. 案例:在输入框中输入 “AAA” 和一段 JavaScript 脚本代码并提交,不会出现弹窗。而要在 URL 上输入回车才能触发弹窗。例如:“我们在这边输入一个 AAA,他就是一个 name AAA,在这里同样的输入一串 JavaScript 脚本代码提交诶,发现它并不会给我们进行一个弹窗,而我们的 DOM 型它是要在这边,在 URL 上输入回车,它就能够进行一个弹窗。”
  3. 处理方式:由前端浏览器完成。
  4. 恶意代码存储位置和执行位置:取出和执行恶意代码都是由前端的浏览器完成的,属于前端 JavaScript 自身的安全漏洞。

以下是一个 DOM 型 XSS 的示例代码:

<!DOCTYPE html>
<html>

<body>
  <input type="text" id="inputField">
  <button onclick="processInput()">提交</button>
  <script>
    function processInput() {
      var inputValue = document.getElementById('inputField').value;
      // 如果没有对输入进行适当的过滤和转义,就可能导致 DOM 型 XSS
      document.write(inputValue);
    }
  </script>
</body>

</html>

四、三种类型的区别

  1. 处理位置
    • 反射型和存储型 XSS 的恶意代码是经过后端脚本语言处理的,由后端进行处理。
    • DOM 型 XSS 是通过前端浏览器进行处理的。
  2. 恶意代码存储位置
    • 反射型 XSS 的恶意代码存在 URL 里。
    • 存储型 XSS 的恶意代码存在服务器端。
    • DOM 型 XSS 的取出和执行恶意代码都是由前端的浏览器完成的。

总之,了解 XSS 的不同类型及其区别对于网络安全至关重要。开发人员应采取适当的安全措施,如输入验证、输出编码和安全的开发实践,以防止 XSS 攻击。

XSS攻击
我是一颗草,哪里荒凉往哪里长
02-08 521
xss攻击 浏览器同源策略 安全机制
存储型XSS漏洞解析
最新发布
w2361734601的博客
04-02 1542
案例:某招聘平台允许上传HTML简历,攻击者嵌入恶意脚本后,所有查看简历的用户会话被劫持。文件上传漏洞:攻击者上传含恶意脚本的PDF、SVG等文件,用户访问文件时触发XSS。蠕虫传播:结合社交功能(如论坛、私信),恶意脚本可诱导用户自动转发,形成链式传播。钓鱼与数据泄露:通过篡改页面内容(如伪造登录框)或窃取用户隐私数据(如支付信息)。:恶意脚本窃取用户敏感信息(如Cookie、会话令牌)或篡改页面内容。​(如数据库、文件系统)的跨站脚本攻击方式。:其他用户访问包含恶意脚本的页面时,脚本自动加载并执行。
前端页面渲染了解xss三种区别
weixin_45647970的博客
03-28 1325
渲染流程 要想理解DOM型的xss首先得先了解前端页面的渲染过程。前端页面接收到服务器返回的html文档后,进行如下的操作。 三种xss区别 先谈谈反射型xss与存储型xss。 形成原因:都是因为服务器没有对用户的输入以及自身输出的数据进行检查、过滤。 区别:它们区别是存储型xss会把数据存入数据库当中。而反射型xss是非持久化的。 利用:例如存储型xss容易出现在留言板中,凡是浏览了此留言板都会受到xss攻击,大量用户cookie被窃取。而反射型xss一般容易出现在搜索页面,它是非持久化的,需要欺骗用
渗透测试-xss三种类型讲解
lza20001103的博客
08-07 4547
渗透测试-xss三种类型讲解
XSS类型
积累,在于坚持
01-18 1050
几种类型 1、反射型XSS 只是简单的把用户输入的数据“反射”给浏览器,即用户输入的参数直接输出到页面上 2、存储型XSS 把用户输入的数据“存储”在服务器上,这类XSS具有很强的稳定性。因此,存储型XSS也可以称之为“持久型XSS”,因为从效果上来看它存在的时间比较长。 3、DOM Based XSS 通过修改页面的DOM节点形成的XSS。也是反射型XSS的一种,因为形成原因比较特别
XSS的分类和原理
2301_80361487的博客
01-24 1451
XSS漏洞分类 1、反射型(非持续型) 2、存储型(持续型) 3、DOM型 反射型(Reflected Cross-site Scripting) 反射型xss也称作非持久型、参数型跨站脚本。 主要用于将恶意脚本附加到URL地址的参数中。 产生层面:前端 漏洞特征:一次性的、前端执行、不会储存在后端数据库 危害等级:中 反射型XSS攻击原理 反射型XSS原理 反射型XSS形成的一个过程 反射型 XSS 反射型 XSS 的攻击步骤: 攻
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 13万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
XSS三种类型和对应的预防措施
darabiuz的博客
04-03 2365
1. 什么是XSS cross-site-scriping,跨站脚本攻击,为了和css区分,取名为xss 通常是在网页里嵌入一段恶意的js代码:让浏览器在渲染dom的时候,意外地执行了恶意的js代码,使得黑客盗取个人信息(通常盗取了新浪微博的账号和密码,还可以试试能不能去登录支付宝qq),执行恶意的操作(比如发恶意帖,删帖,微博关注人,转发未必之类的操作) 2. XSS的分类 1.Dom类型 DOM 型 XSS 的攻击步骤: • 攻击者构造出特殊的 URL,其中包含恶意代码。 • 用户打开带有恶意代
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
zz12345600354的博客
04-23 1280
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS漏洞分类
ssslq的博客
03-04 897
反射型,存储型XSS解析及实操
CSRF和XSS攻击详解及区别
m0_63512120的博客
02-22 1158
CSRF(Cross-Site Request Forgery)攻击是一种利用用户已登录的身份,欺骗用户在未经其同意的情况下对某个站点发起请求的攻击方式。攻击者利用用户在其他站点中的登录状态,通过伪造请求,使用户在不知情的情况下执行了恶意操作。
XSS类型详解
a_helloworlds的博客
03-28 2717
(1)反射型(reflected xss): 基于反射性攻击,依靠服务端反回的脚本,在客户端执行,形成web攻击。 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返 回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。 例子: ...
关于xss三种类型详解
土拨鼠挖洞中的博客
04-12 1万+
一、简介什么是XSS?百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实...
xss基本类型
a69843251的博客
02-20 386
Xss类型 反射型 2、存储型 3、dom型   火狐中常用的XSS调试插件 Hackbar Firebug Tamper Data(burpsuit代替) Live Http Headers(burpsuit代替) Editor Cookie(burpsuit代替)...
整理常见的三种XSS攻击类型
Edon-Du的博客
06-07 2万+
什么是XSS? 简单的说就是没有做好校验,因为前端的用户输入的数据别人可以拦截,然后嵌入一些脚本代码或者其它的而达到不良的结果,有点类似与sql注入的攻击。 百科的一段介绍: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到...
反射型XSS、存储型XSS和DOM型XSS的简介及XSS常见payload构造及变形
bwxzdjn的博客
03-21 5690
用实验案例的形式记录学习三大常见的跨站脚本攻击:反射型XSS、存储型XSS和DOM型XSS,借此来掌握XSS攻击的基础知识。还有几种payload的构造以及变形来绕过一些简单的过滤。
XSS(跨站脚本攻击)——原理、基本类型与应用(反射型、存储型)
m0_74249600的博客
08-14 2087
本文讲述了XSS的原理以及两种基本类型:反射型、存储型的讲解与靶场实践,请关注持续更新(本文部分内容来自课件,如有版权问题请与我联系)
网安入门16-XSS三种类型
m0_61499194的博客
02-26 1401
XSS漏洞,全称跨站脚本攻击(Cross-Site Scripting),是代码注入的一种。它允许恶意用户将代码注入到网页上,原理是攻击者将恶意代码注入到可信网站的页面中,当用户浏览该页面时,恶意代码就会被浏览器执行,从而达到攻击者的目的。盗取用户敏感信息,如Cookie、账号密码等;控制用户浏览器,进行钓鱼攻击、重定向等;篡改网页内容,进行欺诈等。反射型XSS:攻击者将恶意代码通过URL参数、表单提交等方式注入到目标网页中,当用户访问该网页时,恶意代码就会被执行;存储型XSS
如何在NVIDIA Jetson AGX Xavier开发者套件上安装和配置最新版本的NVIDIA Jetson Linux驱动程序包?
10-28
参考资源链接:[NVIDIA Jetson AGX Xavier 开发者套件用户指南](https://wenku.csdn.net/doc/7cycre9k8s?utm_source=wenku_answer2doc_content) 为了在NVIDIA Jetson AGX Xavier开发者套件上安装和配置最新的NVIDIA Jetson Linux驱动程序包,首先推荐仔细阅读《NVIDIA Jetson AGX Xavier 开发者套件用户指南》,这份指南提供了详细的安装指导和配置说明,有助于确保驱动程序的正确安装和系统的稳定性。按照以下步骤操作可以完成安装: 1. 访问NVIDIA官方网站或Jetson Download Center下载最新版本的Jetson Linux驱动程序包。 2. 使用SD卡制作工具将下载的驱动程序包写入到SD卡中。 3. 将SD卡插入NVIDIA Jetson AGX Xavier开发板,并启动设备。 4. 开发板启动后,系统将自动引导安装过程。按照屏幕上的指示完成安装。 5. 安装完成后,需要登录系统进行网络配置和其他必要的系统设置。 在安装过程中,用户应该参考用户指南中的系统配置与管理部分,以确保所有设置都按照推荐的方式进行。此外,安装驱动程序包后,建议查看NVIDIA Jetson Linux驱动程序包的发布注释,了解最新的功能改进和兼容性信息。 在遇到任何问题时,用户可以访问Jetson论坛或Jetson生态系统页面获取社区支持,或参考Jetson FAQ页面查找常见的问题和解决方案。如果需要更深入的开发支持,NVIDIA Developer Program提供了丰富的资源和工具,包括SDK Manager,它是一个用于管理Jetson开发环境的强大工具,可以帮助安装和更新CUDA、cuDNN、TensorRT等软件开发套件。 完成驱动程序的安装和配置之后,开发人员可以开始探索Jetson AGX Xavier平台的强大功能,如硬件集成、编程接口的使用,以及性能调优,这些都可以在用户指南和相关的支持资源中找到详细信息。 参考资源链接:[NVIDIA Jetson AGX Xavier 开发者套件用户指南](https://wenku.csdn.net/doc/7cycre9k8s?utm_source=wenku_answer2doc_content)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值