跨站脚本攻击是什么?分为哪几类?

最新推荐文章于 2023-12-09 12:00:00 发布
最新推荐文章于 2023-12-09 12:00:00 发布
阅读量128 收藏
点赞数
文章标签: 网络 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oldboyedu1/article/details/132760084
版权

  跨站脚本攻击英文全称Cross Site Scripting,缩写为css,但由于与层叠样式表发生冲突,因此为了避免混淆,跨站脚本攻击缩写为XSS。那么跨站脚本攻击是什么?很多人可能不明白,这篇文章为大家介绍一下。

  跨站脚本攻击,俗称XSS,通常指利用网站漏洞从用户处获取隐私信息。跨站脚本缩写为CSS,但由于层叠样式表的缩写重复,为了避免混淆,大部分地区都称为XSS。

  XSS漏洞分类

  XSS漏洞类型可以分为三类,按其危害程度排序由高到低分别为:存储型XSS、反射型XSS、DOM型XSS。

  存储型XSS:也称其为持久型跨站,是最为直接的危害类型,其跨站代码存储于数据库中,常见于数据交互界面,如注册界面等。

  反射型XSS:此类型也称为非持久型跨站,同时也是最为普遍的类型,用户访问服务器后,通过跨站连接返回跨站代码,一般是一次性使用,即用即得,常见于信息查询等可以获取大量信息的界面。

  DOM型XSS:DOM意为文档对象模型,是客户端脚本逻辑有误导致的安全问题,类似于反射型XSS为一次性使用,漏洞一般直接存在于前端代码,不与后台服务器交互。

  XSS的危害

  1、XSS蠕虫:XSS蠕虫基于社工的基础上,诱使用户点击访问其发出的恶意邀请链接。社交网络用户接收到好友发出的相关链接时,往往是不加分辨地直接点击访问。活跃节点会比非活跃节点收到更多的蠕虫邀请链接,一旦受到感染,也会发送更多的蠕虫邀请链接。

  2、Cookie窃取:攻击者利用XSS在网页中插入恶意代码,一旦用户访问该网页,cookie就会自动发送到攻击者服务器中去。使用cookie我们可以实现免密登陆,一旦得手,他们可以盗取用户账户,修改用户设置,污染cookie,做虚假广告等。

  3、钓鱼欺骗:利用目标网站的反射型XSS漏洞,将目前重定向到钓鱼网站,或在JavaScript中写入恶意钓鱼代码,用于监控网站的数据输入,从而获取信息。

  4、网页挂马:顾名思义,将木马下载到本地用户,并进一步执行,当木马获得执行后,会有更多的木马被下载,进入一个恶性循环,从而使用户电脑受到攻击或控制。常见的跨站脚本攻击会利用弹出恶意窗口的方式进行挂马攻击。

  5、会话劫持:部分跨站脚本攻击可以劫持浏览器,查看用户的浏览历史以及发送或接收的数据,同时访问正常网站时被转向到恶意网页,一些无用的插件也会自动添加。

老男孩IT教育
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是跨站脚本 (XSS) 攻击?
简介
01-04 1907
这一次,教会xss攻击!!!!!!!
威盾V3.71 Build 90403.rar
08-29
为了能让试用的客户能更智能话的安装威盾,经过多天的努力,威盾开发人员对先前的V3.7版本进行了多方的修正,对客户提出的bug进行研究修正。V3.71版本比先前的版本更容易操作,安装即可试用,不必进行太多的设置,非常智能化,威盾V3.71版本还优化了web管理页面,让客户管理设置威盾更为简明。 软件介绍: 【产品简介】 威盾Web应用防火墙,是由北京补天信息科技有限公司的安全专家(CISP、CIW、CCIE)在多年服务器**及网站管理经验的基础上,结合IIS网站对WEB安全的特殊需求而开发的一款专业级IIS安全防火墙,具备防黑客、防盗链、防下载等多种安全防护和带宽管理功能的应用级防火墙,可为基于IIS服务器建设的网站系统提供全方位、一体化、高效能的整体安全解决方案。 威盾防火墙采用最新的VC .NET开发编制,基于最高效的ISAPI Filter技术实现,具有速度快、效率高、应用防护透明化等特点,在IIS内核中实现真正意义上的全方位安全防护,是迄今为止解决IIS安全问题最完整的安全解决方案之一,已在黑客基地等**百万访问量的大型站点成功应用两年之久。为ASP、PHP和JSP等脚本程序提供有简单易用的开发接口,可无缝支持动易、风讯、TSYS、新云、KingCms、Discuz、PhpWind和SupSite等CMS内容管理、资源下载及论坛社区系统实现真正意义的盗链保护、防黑客入侵和高级会员区等安全功能。 威盾防火墙不同于一般的小型防盗链产品,而是一款企业级的全方位应用安全防护产品,它是由一个多年从事安全产品的团队开发而成,功能上具备防黑客、防盗链、防下载等多种安全防护和管理能力,效率上在IIS内核中采用Filter Cache技术使得其具有瞬间的即时处理能力,管理上不仅支持GUI管理,而且支持基于Web的管理,极大满足了管理的不同需求,此外,威盾授权支持全**、**、域、单IP、双IP及IP段,部署起来具有很大的灵活性,这是一般的简单防盗链产品所无法具备的。。 威盾防火墙是由注册资金百万级的北京补天信息科技有限公司研制开发,拥有北京市通信管理局审批颁发的增值电信与信息服务业务经营许可证京ICP证50895号,网上交易和售后服务有保证,降低您的安全投资风险。 【产品特色】 可运行在Windows 2000、Windows XP或Windows2003**台,支持IIS 5.0、IIS 5.1和IIS6.0。 ★ 专业IIS防护 防CC攻击、超级盗链保护、下载线程限制、防SQL注入、URL过滤、IP阻塞等IIS防护一条龙... ★ 高处理性能 采用最新VC .NET的ISAPIFilter多线程技术 开发,速度极快,支持**访百万级的大型站点。 ★ 高可靠性 在几乎天天遭受黑客攻击的黑客基地网站已可靠运行长达两年之久。 ★ 即时配置更新 无需重新启动IIS即可更新配置,即时生效。 ★ GUI和WEB管理 支持通过GUI和WEB两种方式对威盾进行管理,操作简单方便。 ★ 服务有保证 补天公司是在北京市国家工商局注册的大型高科技公司,拥有京ICP50895经营许可证。 ★ 防护**类型 门户、企业站、论坛、博客、下载站、电子商城、会员站、电子商务、电影网站、音乐网站等。 【产品功能】 ★ 禁用代理访问 可禁止用户通过代理服务器访问您的网站,杜绝恶意非法发布信息者。 ★防护CC攻击 HTTPCookies及RequestMonitor两种独家绝技实现100%防护CC通过刷脚本对数据库的攻击,并且完全不影响正常用户的合法访问。 ★超级防盗链功能 提供针对Referer、QueryString、Cookies及Session等多种形式的认证保护,可提供对图片、文件、音乐、电影及会员资源的盗链保护,并且独特具备防止迅雷、FlashGet、QQ旋风等P2SP工具的恶意传播下载。 ★防止黑客入侵 拥有URL与Cookies过滤、IISGuard安全卫士及TrustScript可信脚本认证等多个防黑客模块,全面保护您的服务器安全,阻止黑客通过SQL注入、Unicode恶意编码、跨站脚本攻击WebShell利用、木马上传等多种攻击方式入侵您的服务器,是至今为止功能最强大的IIS防黑客保护产品之一。 ★下载线程与带宽限制 威盾通过QuickSearch专有算法在几乎不耗费CPU的情况下即可准确实现对单IP下载线程数的限制,并且可精确控制到每个线程的下载带宽,防止网站被恶意多线程下载导致其他合法用户无法访问和下载。 ★IP黑名单 可将恶意IP或IP段放入黑名单中,阻止其对网站的非法访问。 ★授权访问 不仅可授权指定的IP为可信IP,而且可授权指定的网站链接受保护的资源。 【产品用途】 ★ 抗CC攻击 若您的IIS和数据库进程总是占用大量的CPU而导致网站打开缓慢或无法访问,很不幸,您遭受了CC攻击,该黑客工具可通过代理服务器疯狂的调用某些需要查询数据库的链接造成的,安装威盾后,威盾的专有技术将有效识别并阻止这种攻击,恢复您的网站正常访问。 ★ 防黑客入侵 在启用网络防火墙的情况下,您的网站仍然被黑客植入了木马,这很明显,您网站的程序存在漏洞,黑客通过SQL注入或跨站攻击及非法上传等方式将脚本木马上传并控制了您的服务器,那么从现在起就立即安装威盾防火墙,将全面保障您的服务器安全,阻止黑客入侵。 我们拥有北京市通信管理局颁发的京ICP证50895号电信与信息服务业务经营许可证,确保您网上交易无忧。 ★ 超级防盗链 假如您的网站流量很大但页面访问量很小,那么肯定您的图片和文件被非法盗链了,别人正在用您的网络带宽赢得流量,请立即安装威盾防火墙挽回您的损失,受保护后任何盗链者看到的将是您的网站页面。。 假如您是一个Flash站、音乐站或电影站,只想让用户在线进行欣赏而不可下载以提升网站流量,那么请立即安装威盾防火墙,威盾将满足您的保护需求。 假如您有一个会员区,但您想使用自己的会员区数据库进行用户认证并控制资源下载,也许您找遍了网络却发现大多数会员区系统要么必须采用它们自己带的用户数据库认证,要么就是对您的会员数据库不能提供很好的支持,那么别在犹豫了,威盾就是您的选择,威盾提供对任何脚本语言和任何数据库的支持,安装威盾后,您不仅可以自由控制威盾对会员进行认证,而且支持分组分权限管理,随心所欲。 ★ 线程和带宽限制 您拥有一个10M或30M带宽的下载站,本可以满足上百用户的同时下载需求,但您会发现很多用户抱怨下载太慢甚至无法下载,通过分析您发现某几个IP竟然启动了数十个线程在疯狂下载,它们伤害了您大多数用户的下载权,那么现在就立即安装威盾防火墙,只需设置单IP的最大线程数和带宽,即可既让这些疯狂用户可以下载,又分配了足够的带宽供其他用户下载,两全其美的解决方案。
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
跨站脚本攻击(XSS)
凉茶铺的博客
07-26 5903
XSS,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字一直保留下来。(2)页面展示...
跨站脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 7773
跨站脚本攻击漏洞-基础篇
Web安全入门——跨站脚本攻击(XSS)
wangluoanquan152的博客
01-22 1097
跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。 XSS攻击是指黑客通过“HTML注入”篡改网页,插入恶意的脚本,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
跨站脚本攻击原理、攻击过程及防御方法简介
seek_2022的博客
05-03 8430
文章目录一、XSS简介(一)什么是XSS?(二)XSS的危害(三)XSS的分类(四)XSS的特性(五)XSS攻击过程二、如何防御XSS攻击?三、本文小结 一、XSS简介 (一)什么是XSS? Cross-Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。 前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。 前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当
X-Scan v3.1
10-22
需要“Nessus攻击脚本引擎”源代码、X-Scan插件SDK、示例插件源代码或愿意参与脚本翻译工作的朋友,可通过本站“X-Scan”项目链接获取详细资料:“http://www.xfocus.net/projects/X-Scan/index.html”。 三. 所需...
伴江行购物系统源码 6.0
03-25
BJXSHOP购物系统将安全检查应用于每一处代码中,可自动屏蔽恶意攻击代码,从而全面防止各种SQL注入攻击、跨站脚本攻击、密码猜解攻击等攻击手段,最大化保证了系统的安全和稳定。 BJXSHOP购物系统独有的全程操作记录...
x-scan v3.3 GUI
04-25
扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞,我们给出了相应的漏洞描述、解决方案及详细描述链接,其它...
[完整][中文][WEB安全测试].(美)霍普.扫描版.pdf
12-07
在本书的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。  本书将帮助你:  ·获取、安装和配置有用的——且免费的——安全测试工具  ·理解你的...
跨站脚本攻击XSS(最全最细致的靶场实战)
m0_51468027的博客
01-31 2万+
一、XSS跨站漏洞 (1)XSS简介   网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌.
跨站脚本攻击(XSS)分类介绍及解决办法
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全
网络安全——跨站脚本攻击
最新发布
zkaqlaoniao的博客
12-09 227
跨站脚本攻击(Cross-site Scripting,通常称为XSS),是一种典型的Web程序漏洞利用攻击,在线论坛、博客、留言板等共享平台是跨站脚本攻击的典型目标。攻击者利用Web程序对用户输入检查不足的漏洞将可执行恶意脚本注入网站或Web应用,当用户访问网页时触发恶意脚本的执行,从而达到窃取用户个人数据、弹出广告,甚至篡改网页内容等攻击目的。
网络安全威胁——跨站脚本攻击
聚集机器学习、信息安全
12-03 2550
跨站脚本攻击(Cross-site Scripting,通常称为XSS),是一种典型的Web程序漏洞利用攻击,在线论坛、博客、留言板等共享平台是跨站脚本攻击的典型目标。
IT知识百科:什么是跨站脚本(XSS)攻击?
网络技术联盟站
06-06 1163
跨站脚本(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者利用该漏洞在受害者的网页中插入恶意脚本,从而能够获取用户的敏感信息、劫持会话或进行其他恶意活动。本文将详细介绍跨站脚本攻击的原理、类型、常见漏洞场景以及防御措施。
web安全第八天:跨站脚本攻击
cc777777777的博客
03-01 1077
跨站脚本攻击
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
网络漏洞主要分为几类,每类漏洞的典型攻击方法有哪些?
06-10
常见的攻击方法包括 SQL 注入、跨站脚本攻击(XSS)等。 2. 认证授权漏洞:攻击者通过利用认证授权机制中的漏洞来获取系统权限,例如弱口令、会话劫持等。 3. 命令注入漏洞:攻击者通过在目标系统中注入恶意代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值