XSS漏洞基础

最新推荐文章于 2024-09-05 19:42:47 发布
最新推荐文章于 2024-09-05 19:42:47 发布
阅读量407 收藏 6
点赞数 3
文章标签: xss web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63615772/article/details/136589884
版权

XSS漏洞基础

Xss漏洞简介

跨站脚本(XSS)又称跨站脚本攻击,是一种针对程序的安全漏洞攻击,是代码注入的一种。它允许恶意的用户将代码注入网页,其他用户在浏览网页时就会收受到影响。恶意用户利用xss漏洞攻击成功后,可以得到被攻击者的Cookie信息

xss漏洞分成三种:反射型,存储型,和Dom型

Xss漏洞原理

反射型xss漏洞

反射性xss漏洞又称非持久性xss漏洞,这种攻击方式往往是一次性的

攻击方式:可以通过邮件将包含xss代码的恶意链接发送给目标用户。当用户访问该链接时,服务器会接收该目标用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器解析xss恶意代码后,就会触发

存储型xss漏洞

又称持久性xss漏洞,攻击脚本将被永久(未被管理员发现)地存放在目标服务器的数据库或文件中,具有很高的隐蔽性

攻击方式:多见于论坛,博客,留言版,攻击者发帖的过程中,将恶意脚本连同正常信息一起注入帖子内容,被服务器保存

。当其他用户浏览了这个被注入恶意脚本的帖子时,恶意脚本会在他们都浏览器中得到执行

<script>alert(/你已经被攻击/)</script>

这段代码表示,其他用户访问留言版时会跳出弹窗

DOM型xss漏洞

DOM(文档对象模型) 使用DOM语句动态访问和更新文档的内容,结构及样式

dom型xss漏洞是一种特殊型的反射型xss漏洞,它是基于dom文档对象的一种漏洞

攻击方式:用户请求一个经过专门设计的URL,它是攻击者提交,而且其中包含xss代码。服务器的响应不会以任何形式包含攻击者的脚本。当用户的浏览器处理这个响应时,DOM就会处理xss代码,导致存在xss漏洞

反射型xss漏洞攻击案列

输入,输出一致

在这里插入图片描述

#当输入下面代码时,出现弹窗
" ><img src=1 onerror=alert(/xss/) />

在这里插入图片描述

出现弹窗的原因             
原来的代码   
<input type="text"  value="
是输出到页面的html代码变成  
<input type="text"  value=" "><img src=1 onerror=alert(/xss/) />">



<img src=1 onerror=alert(/xss/) />#这段代码中alert()的作用是让浏览器弹窗显示 /xss/

重点在意 输入的"闭合了",>闭合了< 导致输入的<img src=1 onerror=alert(/xss/) /> 变成了HTML标签

存储型xss漏洞攻击案例

存储型xss页面实现的功能包括:获取用户输入的留言信息,即标题的内容个,然后将标题和内容插入数据库中,并将数据库的留言信息输出到页面上

在这里插入图片描述

标题输入1,内容输入1

在这里插入图片描述

当输入标题为

<img src=x onerror=alert(/xss/) />

出现弹窗

在这里插入图片描述

DOM型漏洞攻击案例

DOM型漏洞攻击页面实现的功能是在输入框中输入信息,单击替换按钮时,页面会将这里显示输入的内容替换为输入的都信息,如输入

11后单击替换按钮,页面会将这里显示输入的内容替换为11

在这里插入图片描述

在这里插入图片描述

在输入了

<img src=1 onerror=alert(/xss/)>之后

会出现弹窗

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](h
在输入了

<img src=1 onerror=alert(/xss/)>之后

会出现弹窗

在这里插入图片描述

#xss漏洞常用的测试语句有以下几种
<script>alert(1)<alert(1)>
<img src=x onerror=alert(1)>
<svg onload=alert(1)>
<a href=javascript:alert(1)>

xss绕过方式

k大帅1
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全---XSS漏洞(1)】XSS漏洞原理,产生原因,以及XSS漏洞的分类。附带案例和payload让你快速学习XSS漏洞
m0_67844671的博客
10-04 4919
一篇文章告诉xss是什么?原理,产生原因,分类以及一些案例
能够发现90%以上XSS漏洞的7个主要的XSS案例。
weixin_42976700的博客
11-04 1840
在阅读有关XSS的材料时,我们通常会看到经典的<script> alert(1)</ script>作为这种漏洞的证明(PoC –概念证明)。尽管确实如此,但它并没有超出此范围,这使得该领域的新手可以寻求更多解决方案来应对现实情况。 因此,这是每个人都应该知道能够利用那里的绝大多数XSS缺陷的7种情况。建立了一个网页来显示它们的变化(单引号或双引号)来进行训练(单击以转到它): 在源代码的开头,有一个HTML注释,其中包含用于触发每种情况的所有参数。它们都适...
(二)XSS实例
weixin_43047908的博客
04-10 1033
Reflected XSS Reflected XSS into HTML context with nothing encoded 构造攻击脚本:<script>alert(1)</script> 将该脚本输入到搜索框中 Reflected XSS into HTML context with most tags and attributes blocked 在搜索功能中包含反射型跨站点脚本漏洞,但是使用了Web应用程序防火墙(WAF)来防御常见的XSS向量。 构造payload
XSS 攻击案例
人生不过是一场旅行,你路过我,我路过你,各自向前,各自修行。
07-05 2568
The attacker injects a payload in the website’s database by submitting a vulnerable form with some malicious JavaScript The victim requests the web page from the website The website serves the vict...
XSS攻击实例分析
mdp1234的博客
07-29 4512
例1、简单XSS攻击 留言类,简单注入javascript 万能测试XSS漏洞代码:"/></textarea><script>alert(1)</script> 有个表单域:<input type=“text” name=“content” value=“这里是用户填写的数据”> 1、假若用户填写数据为:<script>alert('foolish!')</script>(或者<script type=..
认识XSS漏洞基础
2201_75286717的博客
03-26 795
XSS(Cross Site Scripting)俗称跨站脚本攻击。攻击者向web页面插入恶意脚本(js代码),当用户浏览该页面时,嵌入web中的js代码会被执行,从而实现恶意攻击用户的目的。
XSS漏洞基础入门
笑花大王
01-29 370
前言 XSS漏洞 Xss(Cross-Site Scripting)意为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS漏洞是一种在WEB应用中常见的安全漏洞,它孕育用户将恶意代码植入web页面,当其他用户访问此页面时,植入的恶意代码就会在其他用户的客户端中执行。 XSS漏洞的危害很多,可以通过XS...
xss漏洞基础
weixin_42299610的博客
03-08 427
xss介绍 跨站脚本攻击一-XSS (Cross Site Script),指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。 攻击方式 XSS攻击的代码是javas代码 xss一般情况是植入到url或者...
XSS漏洞基础分析(反射型)
m0_55017965的博客
03-05 5129
攻击方法: 1.在自己地浏览器上发现xss漏洞,产生恶意行为 2.将输入命令后的url复制 3.发给其他用户,产生相同的攻击效果 在网页html中,出现Javascript语句即出现xss漏洞 源码分析: 低级代码:PHP代码中对xss语句没有任何过滤,可直接输入<script>alert(1234)</script> 源码分析: 中级代码:PHP代码中对xss语句有大小写有过滤,当xss语句为小写时,代码不能执行,所以可以将代码改为大写: <sCri..
007-Web安全基础3 - XSS漏洞.pptx
10-22
007-Web安全基础3 - XSS漏洞
xss漏洞讲解.pdf
04-22
综上所述,文档中涉及了XSS漏洞的多个方面,从基础法律知识讲起,逐步深入到XSS漏洞的原理、类型、测试方法、运用场景、绕过防护措施以及防护策略。此外,还包括了前端技术的基础知识,为深入理解和研究XSS攻击提供...
反射型XSS漏洞基础
Ethan024的博客
03-11 319
XSS漏洞基础(本文仅供技术学习与分享) 反射型XSS(GET)漏洞弹窗 实验准备: 皮卡丘靶场 实验步骤: 2. 确认页面是否存在XSS漏洞;在对应的输入点输入危险字符,包括’, ", <, >以及危险字符串等; 3. 确认输入后是否会被过滤,输出是否会被处理; 4. 这里输入<>后,发现输入的字符串未被过滤或转义: 5. 查看源码发现,发现我们输入的<>被输出在标签里面: 6. 因此我们可以推测,如果输入JavaScript代码,也不会被过滤。因此输入简单的
xss漏洞原理
现代鲁滨逊的博客
07-24 2673
XSSXSS原理简单介绍漏洞成因XSS分类1.反射型2.存储型3.DOM型XSS危害XSS构造及漏洞利用1.XSS过滤绕过利用<>标记HTML、JavaScript关闭标签利用HTML标签属性执行XSS空格回车Tab绕过过滤利用标签属性进行转码产生事件扰乱XSS过滤规则利用字符编码利用CSS跨站过滤2.其他XSS漏洞XSS防御输入过滤输出编码标签黑白名单过滤代码实体转义httponly防止cookie被盗取总结 参考: XSS跨站脚本攻击原理及代码攻防演示(一)(很大一部分从他那来的,如侵立删)
XSS漏洞基础学习(笔记)
部分学习记录
08-04 1265
包含一些基础XSS学习。 XSS跨站脚本分类 XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。故将其缩写为XSS。恶意攻击者往Web页面插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击者的目的 反射型XSS 非持久型XSS,这种攻击往往具有一次性。攻击者通过邮件等形式将包含XSS代码的连接发送给正常用户,当用户点击时,服务器接收该用户的请
前端安全:如何防范跨站脚本攻击(XSS)
官方推荐
09-02 3047
前端安全:如何防范跨站脚本攻击(XSS)
XSS 漏洞 - 学习手册
Blue17 の 小窝
09-02 367
WEB 安全漏洞 - XSS 漏洞的系统笔记导航
经验笔记:跨站脚本攻击(Cross-Site Scripting,简称XSS
最新发布
qq_45831414的博客
09-05 640
当其他用户浏览该页面时,嵌入的脚本就会被执行,从而可能对用户的数据安全构成威胁。:攻击者构造一个包含恶意脚本的URL,当用户点击这个链接时,恶意脚本会作为查询字符串的一部分发送到Web应用,如果Web应用没有正确处理这个输入,则会将其反射回响应中并在用户的浏览器中执行。:利用现代浏览器的安全功能,如沙箱(Sandbox)模式,它可以限制iframe内的脚本执行能力,从而减少XSS攻击的影响。:对用户的编辑和发布权限进行严格控制,特别是那些能够影响到其他人看到的内容的用户。
【无标题】XSS安全防护:responseBody (输入流可重复读) 配置
javaxueba的博客
09-02 209
是 RepeatedlyRequestWrapper 类型,则获取上面封账body信息。
xss漏洞利用技巧:从基础到实战
"作者分享了如何利用XSS漏洞提升在安全平台的排名,主要涉及XSS基础知识、分类、绕过技巧、工具测试和防御措施。文章以实例展示了一些XSS攻击的常见方法,并推荐了几篇相关文章供深入学习。" 在网络安全领域,XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值