XSS 跨站脚本

最新推荐文章于 2024-01-02 20:00:00 发布
最新推荐文章于 2024-01-02 20:00:00 发布
阅读量1.9k 收藏 9
点赞数
分类专栏: 渗透 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66618018/article/details/127253444
版权

XSS 跨站脚本

一、 什么是XSS

XSS(Cross-site Scripting),中文名跨站脚本攻击。其原理是攻击者利用浏览器执行前端代码(HTML、CSS、JavaScript)的特性,将恶意的JavaScript代码插入到页面中,当用户浏览页面时,导致恶意代码被执行。

二、XSS的危害

1)、窃取用户cookie资料,冒充用户身份进入网站
2)、劫持用户会话,执行任意操作
3)、刷流量,执行弹窗广告
4)、盗取各种用户账号
5)、传播蠕虫病毒
6)、攻击者能在一定限度内记录用户的键盘输入

三、XSS的分类

1、反射型XSS

也称为非持久型的XSS,客户端访问某条链接时,可以将恶意代码植入URL,若服务器未对URL参数进行全面的处理、过滤,那么将造成XSS漏洞。参数型脚本在搜索框等地方。
数据走向:浏览器 —— 后端 —— 浏览器

2、存储型XSS

称为持久型XSS,可以将输入的代码持久的保存到服务器上,显示到HTML页面中,经常出现在网站的评论、弹幕、建议栏、博客发布界面等页面。
数据走向:浏览器 —— 后端 —— 数据库 —— 后端 —— 浏览器

3、DOM型XSS

基于文档对象模型(Document Object model)的漏洞

四、XSS Payload构造

原文链接:https://blog.csdn.net/Fighting_hawk/article/details/123095511
1、利用<>构造HTML标签和标签

<script> alert (/xss/) </script>
<script> confirm ('xss') </script>
<script>  prompt("xss") </script>

2、利用HTML标签的属性值(伪协议)
例如:

//利用a标签的javascript:伪协议
<a href="javascript :alert(/xss/)"> touch me! </a>

3、利用事件
Windows事件(对Windows对象触发的事件)
Form事件(HTML表单内的动作触发器事件)
Keyboard 事件(键盘按键)
Mouse事假(由鼠标或类似用户动作触发的事件)
Media事件(由多媒体触发的事件)

<img src='./smile.jpg' onmouseover='alert(/xss/)'>	//该标签会引入一张图片,然后鼠标悬停在图片上的时候,会触发XSS代码。
<img src='./smile.jpg' onerror='alert(/xss/)'>		//onerror会在文档载入失败时触发XSS,比如下一个语句
<img src='#' onerror='alert(/xss/)'>				//与上一个语句相比,将文件路径改成#,一定载入失败,触发XSS
<input type="text" onkeydown="alert(/xss/)">
最低0.47元/天 解锁文章
大yiba
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站脚本XSS)的介绍
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
06-14 3004
跨站脚本XSS) 攻击是一种注入,其中 恶意脚本被注入到其他良性和受信任的脚本中 网站。当攻击者使用 Web 应用程序执行以下操作时,会发生 XSS 攻击 发送恶意代码(通常以浏览器端脚本的形式)到 不同的最终用户。允许这些攻击成功的缺陷是 相当普遍,并且发生在 Web 应用程序使用来自 用户在其生成的输出中,而无需对其进行验证或编码。攻击者可以使用 XSS 向毫无戒心的人发送恶意脚本 用户。最终用户的浏览器无法知道脚本应该 不可信,并将执行脚本
Web安全基础学习:XSS跨站脚本漏洞之反射型XSS
最新发布
qq_51862722的博客
06-18 683
反射型XSS漏洞:攻击者发送给被攻击者一个邮件信息或者链接,当被攻击者点击并访问该链接时,此时就会向攻击者的目标服务器发起请求,此时根据请求返回相关的script代码,当浏览器解析这些script代码时,此时代码就会在浏览器执行,造成用户被攻击。攻击者针对若该参数未经处理直接拼接到JS中,则会直接执行弹窗代码。若将弹窗代码修改为恶意攻击代码,则会产生严重安全问题。盗取用户登录凭证(Cookie)、劫持用户会话、修改网页内容、网页挂马、恶意重定向、Dos攻击、钓鱼攻击、XSS蠕虫攻击等。
防御XSS的七条原则
收集盒 Book box
09-06 1016
前言 author: shineforyou 本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》 攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道这段脚本是不可信的,所以依
XSS跨站脚本)概述
大雾
05-15 989
特殊字符+唯一识别字符 '"这是特殊字符6666这是唯一识别字符查看页面源代码ctf+f查询666F12选取页面元素,把长度限度改成200发现弹框成功 (反射型是不存储的刷新页面代码就没了。
xss(跨站脚本
qq_63963927的博客
10-16 382
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;xss触发方式使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议javascript:alert(1)
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本攻击
01-27
跨站脚本攻击(XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结:...
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
【WEB漏洞原理】XSS 跨站脚本攻击
过期的秋刀鱼
08-26 2315
当用户访问被XSS 脚本注入过的网页,XSS 脚本就会被提取出来,用户浏览器就会解析执行这段代码,也就是说用户被攻击了。DOM 型XSS 是一种XSS 攻击,其中攻击的代码是由于修改受害者浏览器页面的DOM 树而执行的。搜索框、登录框、微博、留言板、聊天室等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 的风险。XSS 攻击目标是客户端浏览器用户,由于浏览器的类别不同,攻击效果不同,甚至于同一款浏览器,攻击效果都不一样。浏览器的类型,版本等因素都会影响XSS 的效果。
XSS跨站脚本攻击过程最简单演示
热门推荐
smstong的成长轨迹
02-06 8万+
实例演示XSS的攻击全过程。
网络安全——XSS跨站脚本攻击
weixin_54055099的博客
09-16 4238
XSS跨站脚本攻击,DVWA靶机的三种类型三个等级的操作
全网最详细 XSS 跨站脚本攻击,不是过来打死我!!
liuhyusb的博客
06-21 2560
​。
跨站脚本攻击(XSS)详解
Karka_的博客
01-02 1215
XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。一开始,这种攻击的演示案例是跨域的,所以叫做"跨站脚本"。现在是否跨域已经不再重要,但是名字一直沿用下来。XSS长期以来被列为客户端Web安全中的头号大敌。因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。下面举个XSS的例子php?如果用户提交了一段HTML代码alert(/xss/)就会在页面中执行,弹出框显示/xss/。
XSS - 跨站脚本攻击
m0_50818626的博客
05-26 1240
存储型XSS又被称为持久性XSS,存储型XSS是最危险的一种跨站脚本。允许用户存储数据的WEB应用程序都可能会出现存储型XSS漏洞,当攻击者提交一段XSS代码后,被服务器端接收并存储,当再次访问页面时,这段XSS代码被程序读取响应给浏览器,造成XSS跨站攻击,这就是存储型XSS。在测试是否存在XSS时,首先要确定输入点与输出点,例如:我们要在留言内容上测试XSS漏洞,首先就要去寻找留言内容输出(显示)的地方是在标签内还是标签属性内,或者在其他地方,如果输出的数据在属性内,那么XSS是不会被执行的。
XSS跨站脚本
weixin_59872639的博客
02-22 2288
XSS简介 XSS被称为跨站脚本攻击(Cross-site scripting),由于和CSS(CascadingStyle Sheets) 重名,所以改为XSSXSS主要基于javascript语言完成恶意的攻击行为,因为javascript可以非常灵活的操作html、css和浏览器。 XSS就是指通过利用网页开发时留下的漏洞(由于Web应用程序对用户的输入过滤不足),巧妙的将恶意代码注入到网页中,使用户浏览器加载并执行攻击者制造的恶意代码,以达到攻击的效果。这些恶意代码通常是JavaScri

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值