XSS同学的那些事~

最新推荐文章于 2024-10-01 17:17:19 发布
最新推荐文章于 2024-10-01 17:17:19 发布
阅读量185 收藏 1
点赞数 1
分类专栏: 前端安全 文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maserati_8000/article/details/118577753
版权

前言

谈到前端安全,大家都会想到XSS,CSRF,SQL注入等攻击。

今天咱们来聊聊XSS攻击!

一、什么是XSS攻击

XSS攻击,英文全称是Cross Site Scripting,翻译过来的意思就是跨站脚本攻击。它的缩写是CSS,由于跟咱们平时写的层叠样式表CSS混淆,所以也就简称为了XSS。

所谓 “跨站脚本攻击”,也就是一种利用恶意的脚本来进行攻击的方式。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行,从而达到攻击的目的。

XSS的本质就是:攻击者的恶意代码未经过滤,与正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。

XSS攻击的危害系数是很高的,如果没有防范好,攻击者便可以利用这些恶意脚本,来获取用户的敏感信息如Cookie,SessionID等,进而危害数据安全。

那么问题来了,攻击者是通过什么样的方法来 “注入” 恶意脚本的呢?接着往下看~~~

二、XSS分类

根据攻击的来源,XSS攻击可分为存储型、反射型、DOM型。

1. 存储型XSS

  • 完成存储型XSS攻击,可分为两步:
  1. 攻击者在目标网站上提交了恶意内容到服务器,服务器没有识别,并保存了该恶意内容到服务器
  2. 正常用户进入该网站,访问服务器,服务器在不知情的情况下,给予了之前的恶意内容,从而让正常用户遭到攻击;

举个例子:

有一个论坛系统,发布的帖子里用户可进行留言,有一天小黄发布了一个新帖子A,这时恶意用户小张发现了该系统没有进行XSS防护,因此在A帖子的留言区中输入了<script>alert(1)</script>,并提交,此时服务器便直接将该内容存入了数据库。之后,其他用户在访问到帖子A时,服务器将其他正常内容以及小张提交的恶意内容混在一起,返回给了用户,并执行。当执行到小张提交的恶意内容时,该恶意代码就会被执行了。因此,在之后每个正常用户只要访问到该帖子时,就会执行该恶意代码。也就容易造成蠕虫。

在这里插入图片描述

2. 反射型XSS

  • 原理:攻击者在URL中插入XSS代码,服务端将URL中的XSS代码输出到页面上;
  • 实现:攻击者将带有XSS代码的URL发送给用户,用户点击打开后,网站服务端将恶意代码从URL中取出,拼接在 HTML 中返回给浏览器,用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行;

举个例子:

我们这里就拿百度来说,当然百度肯定是有做防护的。我们现在就假设他没有做防护。首先,该网站中有搜索框,我们可以在搜索框中输入信息,进行搜索;
在这里插入图片描述
我们输入NBA,进行搜索;可以看到我们搜索的信息,作为参数放到了URL中;并且无论你输入任何关键字,它都将随搜索结果一起被显示在网页上;
在这里插入图片描述
此时,我作为恶意用户,要进行XSS攻击,我就把该wd的参数值改为<script>alert(1)</script>,然后转发给其他用户,当其他用户一点击该链接时,就会出现以下情况,此时在没有做XSS防护的情况下,该恶意代码就会被执行。
在这里插入图片描述

  • 反射型 XSS 跟存储型 XSS 的区别是:存储型 XSS 的恶意代码存在数据库里,反射型 XSS 的恶意代码存在 URL 里。

  • 反射型 XSS 漏洞常见于通过 URL 传递参数的功能,如网站搜索、跳转等。

3. DOM型XSS

DOM型XSS会相对比较少一些,它是在纯前端完成的,并没有涉及到服务器。

它的实现是:

  1. 攻击者构造出特殊的URL,其中包含恶意代码;
  2. 用户打开带有恶意代码的URL;
  3. 用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行;

这看着和反射型XSS很相似,但DOM型XSS跟前两种的区别是:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞,而其他两种 XSS 都属于服务端的安全漏洞。

咱们看个例子(这是Pikachu系统中的例子):

  1. 我们在输入框中输入1111提交之后我们回看到这个参数是通过url传递的,看着很像反射型XSS对吧,其实他并没有把参数传到后台只是在前台显示了;
    img
  2. 查看它页面源代码
    img
  3. 此时我们在输入框中,输入 #’ οnclick=“alert(111)”>,那么最终会变成<a href=’#’ οnclick=“alert(111)”>>就让往事都随风,都随风吧,最终点击a标签时,就会出现弹框;
    img
  4. 最终将该链接发给受害者,就可以造成攻击啦。

DOM 型 XSS 攻击,实际上就是网站前端 JavaScript 代码本身不够严谨,把不可信的数据当作代码执行了。

三、XSS攻击的预防

通过以上的信息介绍可以得知,XSS攻击的两大要素就是:

  1. 攻击者提交恶意代码
  2. 浏览器执行恶意代码

目前一些流行的浏览器中,都已经内置了一些对抗XSS的防护措施。但这远远是不够的,那么平时我们应该如何进行XSS防护呢?XSS的防护有很多的方式,这里讲讲较为常见的~~~

1. 输入过滤(转义)

这里有两种方式:

  1. 在用户提交时,由前端进行过滤,然后提交到后端;
  2. 在后端写入数据库前,对输入进行过滤。

输入过滤的方式是最常见的,但也并非完全没有弊端。对第一种来说,在前端进行输入过滤,很有可能攻击者就会绕过前端过滤,从而提交恶意代码(不过现在也有很多比较成熟的xss库了,各种能绕过的方式,都能被解决~~~)。对第二种来说,当我们的输入没有明确输入类型的时候,就会产生混乱;比如用户输入了 3 < 5,经过转义得 3 &lt; 5,如果是作为html拼接到页面中,可以正常显示;如果是作为JavaScript的变量,就会产生错误。所以对于明确的输入类型,如:数字、URL、电话号码、邮件地址等,进行输入过滤还是很有必要的。

2. 其他安全措施

  1. 对输入的内容长度进行限制,虽然无法完全防止 XSS 发生,但可以增加 XSS 攻击的难度,减小风险;
  2. 使用HTTP-only Cookie::禁止 JavaScript 读取某些敏感 Cookie信息,攻击者完成 XSS 注入后也无法窃取此 Cookie;
  3. 验证码:防止脚本冒充用户提交危险操作;
  4. 禁止加载外域代码,防止复杂的攻击逻辑;

对于XSS攻击,有很多的防护方式,在我们平时的开发中,要记住,只要是用户输入的数据,就不可能百分百安全,所以在平时开发中,还是需要谨慎一些,以免造成不必要的损失~ 今天就聊到这里啦!!!

参考资料:https://tech.meituan.com/2018/09/27/fe-security.html

阿黄阿黄
关注
专栏目录
xss攻击原理与解决方法
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
渗透校内网——XSS过程详解
6546546546456546
01-22 1419
——余弦函数( http://hi.baidu.com/ycosxhack )三更半夜原创我知道校内网曾经爆发的那个蠕虫,那时候爆发这个相对来说容易,因为那时XSS没任何挑战,而AJAX蠕虫不是谁都可以写出来的,至少要有不错的 JavaScript编程能力。我是这两天才开始认真使用校内网的,使用前就发文声称要XSS^^,没想到几个小时的渗透,发现了校内网的过滤系统就是形同虚设。下面详细讲解下这个渗
XSS和字符集的那些
weixin_33969116的博客
03-08 472
mramydnei · 2014/03/29 13:190x00 前言在文章的开头,我想对上次发布了一个结论及其离谱但还算及时被删除了的 文章(关于跨域字符集继承的那篇)道个歉。也希望没有测试就去转载的那些人,可以把那个文章删除了。防止更多人对跨域字符集产生了错误的理解。不过作为谢罪,我也又重新整理了一篇文章,这也是一直以特别想写的一篇。但是觉得这个题目对我来说还是有点大,所以就一直没有下的去手。...
XSS大全
weixin_46601374的博客
03-01 8371
XSS的原理和特性 xss:将用户的输入当作前端代码执行 注入攻击的本质,是把用户输入的数据当做代码执行。 这里有两个关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据 html:定义了网页的结构 css:美化页面 js:可以操浏览器 XSS主要拼接的是什么 SQL注入拼接的是操作数据库的SQL语句。 XSS拼接的是网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结:xss就是拼接恶意的HTML) xss
XSS靶场——通关笔记
2301_80358831的博客
07-11 1359
通过代码发现,本关卡有两个参数:arg01、arg02,当我们发送的时候,发现他们是会互相拼接起来的,那么我们就容易想到这里会不会就是突破口,发现这两个参数是在embed上,embed标签定义嵌入的内容,并且做了尖括号过滤,那么我们可以加入一个属性进去,生成恶意代码。先查看源代码,和上一关的不同之处是t_ua处已经有了参数,虽然第四个<input>的t_ua已经有了参数,但是仍然尝试给这四个隐藏的文本框传参,结果发现t_sort成功接收到传的参,但是t_ua还是原来的参数,没有接收到刚才传的参。
手把手教你快速上手XSS攻击
2301_79455190的博客
12-21 1524
跨站脚本攻击(Cross-site scripting,XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。若受害者运行这些恶意代码,攻击者就可以突破网站的访问限制并冒充受害者。根据开放式 Web 应用安全项目(OWASP),XSS 在 2017 年被认为。XSS 攻击可以分为 3 类:存储型(持久型)、反射型(非持久型)、DOM 型。注入型脚本永久存储在目标服务器上。当浏览器请求数据时,脚本从服务器上传回并执行。
存储型XSS漏洞
韩云川的博客
09-11 658
存储型XSS攻击是一种常见的网络攻击,也称为持久型XSS攻击。与反射型XSS攻击不同,存储型XSS攻击将恶意代码存储在服务器端或数据库中,当其他用户访问该网页时,恶意代码会被执行,导致用户的信息被窃取或造成其他安全问题。存储型XSS攻击的原理是利用网页的输入和输出漏洞,将恶意代码插入到网页中。当用户访问该网页时,恶意代码会被执行,并窃取用户的浏览器信息、Cookie等敏感数据。这些数据可以被攻击者用来进行更深入的攻击,例如身份盗用、钓鱼攻击等。存储型XSS攻击的危害非常严重。
XSS注入总结
2401_84466229的博客
06-17 1601
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…在检查到XSS攻击时,停止渲染页面。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
XSS漏洞详解
m0_62619269的博客
05-30 664
基本知识 原理 XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击者如果已经在被攻击站点登录,就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际上这个请求是在被攻击者不知情的情况下发起的,由此攻击者在一定程度上达到了冒充被攻击者的目的。精心的构造这个攻击请求,可以达到冒充发文,夺取权限等等多个攻击目的。在常见的攻击实例中,这个请求是通过script 来发起的,因此被
pikachu-xss.txt
06-10
pikachu-xss
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
zz12345600354的博客
04-23 1063
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS漏洞——渗透day08
qq_62716256的博客
09-04 593
XSS漏洞——渗透day08
网络安全-靶机dvwa之XSS注入Low到High详解(含代码分析)_dvwa xss注入
2401_84300255的博客
04-27 797
正常可以看到是Get型。
前端的全栈混合之路Meteor篇:3.0新版本介绍
最新发布
分享有趣的、贴近生活的CS知识
10-01 1082
Meteor全栈框架3.0版本终于稳定下来了,它的效果约等于webpack+vue+express+socket.io+mongodb+npm+uniapp,学一个搞定全套,值得学习了解下,最后找到适合于自己的技术栈。
登录功能开发 P167重点
2303_81204446的博客
09-30 384
前端无法识别controller方法,因此存在Dispa什么的。Claims:jwt中的第二部分。
Vue实战教程:如何用JS封装一个可复用的Loading组件
Jiaberrr的博客
09-28 625
通过以上步骤,我们成功在Vue项目中封装了一个可复用的Loading组件。在实际开发中,我们可以根据项目需求对Loading组件进行样式和功能的扩展,使其更加完善。封装组件是提高代码复用性和维护性的有效手段,希望本文能对你有所帮助。
Webpack 打包后文件过大,如何优化?
官方推荐
09-30 5885
Webpack 打包后文件过大,如何优化?
Web认识 -- 第一课
ZxVSaccount的博客
09-30 1191
这里是我们进入前端学习的开端,在本次更新之后我会陆续上传html,css,javaScript等相关语言的教程,有感兴趣的小伙伴们点点关注,未来我们一起学习!IE、火狐和谷歌是目前互联网上的三大浏览器,其他常用的浏览器还有苹果的Safari浏览器和欧朋浏览器等。对于一般的网站,只要兼容IE浏览器、火狐浏览器和谷歌浏览器,就能满足绝大多数用户的需求。本节主要简单介绍了一下关于HTML、CSS、JavaScript的一些基本概念,有感兴趣的朋友,点点关注我们一起学习,博主持续更新中!
同学们思考CSP是如何抵御XSS攻击的?
05-20
CSP(Content Security Policy)是一种安全策略,可以帮助防止跨站脚本攻击(XSS)。CSP允许网站所有者指定哪些来源可以加载特定类型的资源,如JavaScript,CSS和图片。这些策略可以通过HTTP头中的“Content-...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值