xss:前端代码注入

已于 2023-04-19 20:51:00 修改
阅读量455 收藏 2
点赞数 2
分类专栏: 漏洞笔记 文章标签: 前端 xss javascript 网络 web安全
于 2023-04-19 20:48:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63100066/article/details/130252891
版权

xss:前端代码注入
用户输入的数据被当作前端代码执行

 1.窃取cookie
 2.获取内网ip
 3.获取浏览器保存的明文密码
 3.截取网页屏幕
 4.网页上的键盘记录

存储型、反射性、

xss利用javascript操纵浏览器
cookie注入:document.cookie
独去cookie,发送cookie
A网站B网站的界限是
同源:同域名、同端口、同协议
同源的cookie就可以互相调用
前端代码触发js的状态
1、

<script>alert(1)</script>

2、伪协议法:
<a href=javascript:alert(1) />1</a>
3、事件型:

<img src=# onerror=alert(1) />

https://www.runoob.com/js/js-events.html

onxxxx事件
#页面得有输出
#<input name=“keyword” value=“” οninput=alert(1)//">
检查代码和源码可能不同 单双引号闭合类
浏览器回对源码进行加工

' onput=alert(1)//
' onfocus=alert(1)// autofocus

反射性:可以使用短网址
偷cookie:
1、手写js代码去偷
2、利用xss平台偷(别人写好的js放在平台上随时可以用)
xss.pt

防止窃取cookie:http-only
在这里插入图片描述

1、csrf(做了xss,我们可以插入js语句,发送数据包去新建账号)
2、让页面显示cookie - (phpinfo)可以查看

在这里插入图片描述

探针(phpstudy)

(政府、军方、医疗、金融)

<iframe onload="alert(1)">//

错误日志存储型xss漏洞
错误日志:记录有人访问的时候遇到的错误
访问不存在的为你教案、不存在的地址
如果记录下来的时候,没有过滤。那么是否会存在xss
cms兼容性不太好:要放在根目录且80端口
默认账户:admin 密码:admin

DOM型xss
dom是一个js可以操纵浏览器和网页显示内容的接口
每个载入浏览器的html文档都会成为document的对象
document对象使我们可以从脚本中对html页面那种的元素进行访问
有些网站为了看起来更安全伪装成静态
lastModified 判断伪静态
经过js处理后触发的xss都可以认为是dom型
1、它有和后端交互吗?
2、纯静态页面
innerHTML

杭椒
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS跨站脚本注入详解
qq_38634483的博客
02-24 1071
XSS(Cross-site scripting)注入是一种Web安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本,从而导致攻击者能够窃取受害者的敏感信息或者利用受害者的身份在应用程序上执行未经授权的操作。
实验三 XSS和SQL注入
qq_60905276的博客
11-21 802
了解SQL注入的基本原理;加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入。在上面的案例中,查询操作本来应该在确保用户名和密码都正确的情况下才能进行的,而输入的注释符将一个查询条件移除了,这严重的危及到了查询操作的安全性。应用程序的功能是负责将用户提交的数据存储到数据库中,然后在需要时将这个用户提交的数据再从数据库中提取出返回到网页中,在这个过程中,如果用户提交的数据中包含一个。
前端框架中的依赖注入(Dependency Injection)
官方推荐
06-17 1313
前端框架中的依赖注入(Dependency Injection)
XSS注入
bossDDYY的博客
07-26 1747
XSS注入
前端-基于客户端DOM的XSS代码注入
.伊泽瑞尔
07-14 305
前端-基于客户端DOM的XSS代码注入 postmessage引起的,ajax数据请求引起的
xss注入
weixin_66218784的博客
12-19 1483
通过复现实验对xss漏洞进行理解
实验三:XSS和SQL注入
yghlqgt的博客
11-27 734
试验前需要掌握的知识 下面内容是试验前你需要了解并掌握的知识,详细的内容可以移步到这篇博客中去学习:试验前的知识储备 XSS部分 1、什么是XSS 2 、什么是XSS攻击 3、 什么是Cookie 4、XSS漏洞的分类 5、XSS的防御 SQL注入部分 1、什么是SQL注入攻击 2、为何会有SQL注入攻击 3. 何时使用SQL注入攻击 4、MySQL简介 5、实施SQL注入攻击 6、防范SQL注入方法汇总 实验部分 实验目的: 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入
前端过滤XSS攻击
gtlishujie的博客
12-21 1168
前端过滤XSS攻击, 我这里用的是开源工程 js-xss,官网地址:根据白名单过滤HTML(防止XSS攻击):https://raw.github.com/leizongmin/js-xss/master/dist/xss.js 使用js-xss,引入xss.js,<script type="text/javascript" src="js/xss.js"></script> 调用filterXSS()即可,如:var ipt1 = filterXSS(ipt1);或consol
第21题:前端常见的攻击方法:XSS、CSRF、SQL注入
小柒的前端之旅
10-09 1042
题目: 前端常见的攻击方法包括:ABC A: XSS B: CSRF C: SQL注入 D: ARP攻击 解析 什么是XSS? 跨站脚本攻击(Cross Site Scripting),为了不使其与层叠样式表的缩写混淆,故跨站脚本攻击的缩写为XSS。恶意攻击者往Web页面里插入Script代码,当用户浏览该页面时,嵌入其中的Web里面的脚本代码会被执行。从而达到攻击用户的目的。(比如获取用户的Co...
前端面试笔记9:前端安全XSS 攻击
qq_52287721的博客
01-01 2451
前端安全 XSS 攻击 文章目录前端安全 XSS 攻击XSS 是什么?XSS 攻击的类型DOM 型 XSS 攻击反射型 XSS 攻击存储型 XSS 攻击如何防范 XSS 攻击? XSS 是什么? XSS 的全名是 Cross Site Script(跨站脚本)的缩写。这里存在一个问题,为什么缩写是 XSS 而不是 CSS?因为如果叫 CSS 就和层叠样式表 CSS 重音了。所以缩写为 XSSXSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗
前端安全系列:如何防止XSS攻击?
01-27
XSS攻击通常通过注入恶意代码到网页中,利用了浏览器信任并执行来自服务器的任何HTML和JavaScript的特性。在本文中,我们将深入探讨XSS攻击的各个方面,并提供预防和检测策略。 首先,我们要明确,XSS防护不仅是...
前端开源库-xss-filters
08-29
前端开发中,XSS(Cross-site scripting)攻击是一种常见的安全威胁,它允许攻击者通过注入恶意脚本到网页上,从而控制用户浏览器的行为。"前端开源库-xss-filters"是一个专门针对这种情况设计的开源库,其目标是...
web漏洞之XSS_TEST漏洞实践练习代码
04-25
本资源"XSS_TEST漏洞实践练习代码"提供了实践XSS攻击与防御的平台,帮助学习者深入理解XSS的工作原理和防范措施。 XSS分为三种类型:存储型XSS、反射型XSS和DOM型XSS。 1. 存储型XSS:攻击者将恶意脚本存储在目标...
XSS注入样例,渗透测试模板
05-07
XSS注入样例和代码
前端xss报警平台
10-15
2. **智能检测**:运用各种XSS过滤和转义策略,比如HTML实体编码、JavaScript转义等,对可疑输入进行验证,防止恶意代码注入。 3. **预防策略**:提供一系列预防XSS攻击的最佳实践,例如使用安全的库函数、禁止危险...
前端Web-JavaScript(上)
Yu2uki的博客
07-31 1468
JavaScript(简称:JS) 是一门跨平台、面向对象的脚本语言,是用来控制网页行为的,实现人机交互效果。JavaScript 和 Java 是完全不同的语言,不论是概念还是设计。但是基础语法类似。组成:ECMAScript: 规定了JS基础语法核心知识,包括变量、数据类型、流程控制、函数、对象等。BOM:浏览器对象模型,用于操作浏览器本身,如:页面弹窗、地址栏操作、关闭窗口等。DOM:文档对象模型,用于操作HTML文档,如:改变标签内的内容、改变标签内字体样式等。
高德地图离线版 使用高德地图api的方法
m0_62336925的博客
08-02 399
然因为高德地图的瓦片地图太大,所以要让后端部署下 前端直接调用 如果本地 直接找到瓦片图路径就可以。这个代码把你想用的方法名保存到本地。这个时候会报错 因为没有这个方法。然后就可以正常使用这个方法拉。然后使用他的离线方法。找到对应的名字 复制。
探索WebKit之巅:开启现代网页应用的高效与兼容之旅
最新发布
weixin_67239318的博客
08-03 223
随着现代网页应用的快速发展,WebKit作为先进的浏览器引擎,其在高效性和兼容性上的表现显得尤为重要。本文深入探讨了WebKit的架构和渲染机制,揭示了其在支持Web标准和提升浏览体验方面的关键技术。通过分析WebKit如何处理DOM操作、JavaScript执行与图形渲染等挑战,我们了解到优化WebKit性能不仅关乎算法和硬件的优化,还涉及网络协议和安全框架的理解。此外,本文讨论如何通过WebKit应对多设备和分辨率下的兼容性问题。掌握这些关键因素,对于开发者来说,是打造高效、兼容的现代网页应用的基础。
前端防御HTTP劫持与XSSJavaScript组件解析
前端代码可以检查 window.top 是否等于 window,如果不是,则可能表示页面在 iframe 中。此外,还可以监听页面加载事件,如果页面加载异常或延迟,可能是被插入了额外的内容。 对于XSS攻击,JavaScript 防御手段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杭椒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值