浅谈XSS攻击

最新推荐文章于 2023-04-23 19:40:12 发布
最新推荐文章于 2023-04-23 19:40:12 发布
阅读量527 收藏 1
点赞数 1
分类专栏: HTTP 文章标签: http xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengqi699/article/details/118259667
版权

XSS名称为跨站脚本(cross site script),为了不和CSS弄混所以叫XSS。

一.XSS攻击有三种类型,分别的储存型,反射型和文档型。

1.存储型

存储型,就是将恶意脚本存储到服务端是数据库中,然后通过在客户端执行这些脚本,从而

达到攻击的效果。

2.反射型

反射型就是将恶意脚本作为网络请求的一部分,就是将恶意脚本作为网络请求地址中的参数,这样服务器就可以接收到恶意脚本参数,然后返回给浏览器端,浏览器将这些内容作为HTML的一部分解析,发现该参数是一个脚本,就会立即执行,然后就达到了攻击的效果。

3.文档型

文档型并不会经过服务端,而是作为中间人角色,通过数据传输过程中劫持到网络数据包,然后修改里面的HTML文档,从而达到攻击的效果。

.防范措施

上面的解释让我们懂得了XSS攻击的原理,很容易可以看出来XSS攻击都是让恶意脚本在浏览器端执行的。所以我们如果要防范XSS攻击,就要阻止恶意脚本的执行。

方法1.对于用户的输入进行转码或者过滤。进行转码后,恶意脚本在HTML解析过程中是无法执行的。也可以用关键词进行过滤,将srcipt标签进行过滤。

方法2.使用CSP,即内容安全策略(Content-Security-Policy),它可以决定浏览器加载哪些内容,

例如:

        1.限制其他域下的资源加载

        2.禁止向其他域提交数据

        3.提供上报机制,能帮助我们及时的发现XSS攻击

方法3.利用HttpOnly,XSS攻击大多数都是为了窃取Cookie,通过设置HttpOnly属性后,JS便无法获取Cookies,这样也可以防范XSS攻击。

小qi要加油
关注
专栏目录
网络攻击与防御-第三章 XSS漏洞
yescomecn的博客
10-20 1131
XSS 漏洞 0x01 什么是xss XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 https://xz.aliyun.com/t/4507 https://prompt.ml/0 靶
xss攻击入门
weixin_34067102的博客
04-06 349
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 非持久型攻击 持久型攻击 下面我们通过具体例子,了解两种类型xss攻击。   1.非持久型xss攻击 顾名思义,非持...
浅谈 xss 攻击
学无的博客
06-30 248
xss 是跨站脚本攻击,主要原理是对网站注入js 脚本,这样当注入的js 脚本执行的时候就达到了恶意攻击的目的。 方法: 1.现在很多页面是通过浏览器的url 进行数据传输,这个时候如果把传输数据改成js 脚本,再如果开发在取数据的时候没进行任何校验的时候,那么我们的网站就可能受到xss攻击了 2. 输入的xss 攻击 ,在许多网站有文章或者评论的输入,这个时候如果输入一串script 代码就比如获取cookie 数据的代码然后传给自己的服务。这样下次别的用户查看文章的时候这段脚本就会执行,导致用户.
Web安全系列(一):XSS 攻击基础及原理
最新发布
2301_77472496的博客
04-23 212
XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSSXSS 攻击,通常指黑客通过HTML 注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。在这种行为最初出现之时,所有的演示案例全是跨域行为,所以叫做 “跨站脚本时至今日,随着Web 端功能的复杂化,应用化,是否跨站已经不重要了,但 XSS 这个名字却一直保留下来。
XSS攻击的理解及防范
浮生离梦的博客
08-15 1094
1. XSS XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击,攻击者在目标网站上注入恶意代码,当被攻击者登陆网站时就会执行这些恶意代码,这些脚本可以读取 cookie,session tokens,或者其它敏感的网站信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等 2. XSS 的本质 恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致...
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
03-04
1.什么是XSS2.XSS攻击手段和目的3.XSS的防范4.新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将...
前端安全浅谈JavaScript拦截XSS攻击
天存信息
06-28 2364
前端安全浅谈JavaScript拦截XSS攻击一、XSS攻击类型1. 存储型XSS(持久型)2. 反射型XSS(非持久型)3. DOM XSS二、XSS攻击的危害三、JavaScript拦截1. 编码2. 内联事件及内联脚本3. 静态脚本4. 动态脚本5. 上报攻击信息 XSS/跨站脚本攻击,是一种代码注入网页攻击,攻击者可以将代码植入到其他用户都能访问到的页面(如论坛、留言板、贴吧等)中。...
浅谈xss和csrf攻击
hhhhhhhssss的博客
07-18 453
文章目录前言一、XSS是什么?二、使用步骤1.引入库2.读入数据总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题。下面我们一起来聊一聊最常见的两种攻击方式,xss和csrf吧! 一、XSS是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import mat
浅谈如何防御xss攻击
xj28555的博客
07-23 557
笔前闲聊 最近都在写一些防守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些防御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。 认识xss 首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页...
XSS攻击技术详解
weixin_34392435的博客
07-03 206
一、背景知识  1、什么是XSS攻击  XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HT...
web安全测试之 xss攻击
weixin_30666753的博客
06-27 662
一、 背景知识 1、 什么是 XSS 攻击? XSS 攻击: 跨站脚本攻击(Cross Site Scripting) , 为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 故将跨站脚本攻击缩写为 XSS。 跨站脚本攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式, 所以容易被忽略其危害性。 其原理是攻击者在网页中嵌入...
XSS攻击的理解和总结
weixin_43829633的博客
05-29 1174
xss跨站脚本攻击(Cross Site Scripting)的危害 盗取各类用户账号,如用户网银账号、各类管理员账号 盗窃企业重要的具有商业价值的资料 非法转账 控制受害者机器向其他网站发起攻击、注入木马等等 ...
xss攻击
weixin_37624195的博客
08-22 321
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接...
XSS攻击是怎么来实现的
夜色朦胧
09-15 2918
一.首先,要学会跨站脚本攻击,就要知道XXS攻击的原理是什么。   1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。 其攻击过程如下所示: A给B发送一个恶意构造了Web的URL。 B点击并查看了这个URL。 恶意页面中的JavaScript打开一个具有漏洞
XSS简介
xiaoWhite_meng的博客
04-29 1080
XSS跨站脚本攻击Cross Site Script(ing)    CSS (层叠样式表)      XSS 所使用的攻击代码主要JavaScript    JS能够做到的事情,就是可能受到的攻击。    XSS攻击的是用户、浏览器、客户端    一、XSS   简介       只要没有对用户的输入进行严格过滤,就会被XSS   (如:留言板..聊天室)二、XSS漏洞危害        盗取各...
XSS (2)
qq_41007744的博客
05-15 592
XSS利用方式Cookie窃取攻击XSS攻击中最常见的应用方式之一cookie的操作通过Document对象访问Cookie。若要创建一个Cookie,只要将特定格式的字符串赋给document.cookie常见cookie属性:Domain——设置关联cookie的域名 Expires——通过给定一个过期时间来创建一个持久化Cookie HttpOnly——用于避免cookie被JavaScri...
XSS攻击介绍
xysoul的专栏
04-27 779
什么是XSS XSS(Cross Site Script,又称CSS)跨站脚本攻击,是指攻击者利用站点的安全漏洞往Web页面里插入恶意html代码或JS脚本,当用户浏览该页时,嵌入Web里面的攻击脚本会被执行,达到攻击目的。 因为这种攻击是通过别人的网站脚本漏洞达到攻击的效果,就是说可以隐藏攻击者的身份,因此叫做跨站攻击。 (1)非持久性XSS 最直观的就是构造URL欺骗用户点击,URL中
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值