了解js (xss)攻击

最新推荐文章于 2024-04-24 10:36:07 发布
最新推荐文章于 2024-04-24 10:36:07 发布
阅读量2.3k 收藏 5
点赞数 1
分类专栏: XSS攻击 文章标签: xss js

什么是XSS

js代码攻击也就是XSS(Cross Site Scripting)攻击,全称为跨站脚本攻击。为了和CSS(Cascading Style Sheet)区分,故称为XSS。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

xss攻击的种类

1、持续型XSS攻击:恶意脚本来源于网站的数据库
我们来看这种攻击的一个场景
例1
1、攻击者通过评论表单提交将<script>alert(‘aaa’)</script>提交到网站

2、网站后端对提交的评论数据不做任何操作,直接存储到数据库中

3、其他用户访问正常访问网站,并且需要请求网站的评论数据

4、网站后端会从数据库中取出数据,直接返回给用户

5、用户得到页面后,直接运行攻击者提交的代码<script>alert(‘aaa’)</script>,所有用户都会在网页中弹出aaa的弹窗

这种攻击方式恶意代码会被存储在数据库中,其他用户在正常访问的情况下,也有会被攻击,影响的范围比较大

2、反射型XSS攻击:恶意脚本来源于受害者的请求
在一个反射型XSS攻击中,恶意文本属于受害者发送给网站的请求中的一部分。随后网站又把恶意文本包含进用于响应用户的返回页面中,发还给用户。
例2
1、用户误点开了带攻击的url :http://xxx?keyword=<script>alert('aaa')</script>

2、网站给受害者的返回中包含了来自URL的的恶意文本

3、用户的浏览器收到文本后执行页面,会在网页中弹窗aaa

反射型的攻击需要用户主动的去访问带攻击的链接,攻击者可以通过邮件或者短信的形式,诱导受害者点开链接。如果攻击者配合短链接URL,攻击成功的概率会更高

3、基于DOM的XSS攻击

基于DOM的XSS攻击是反射型攻击的变种。服务器返回的页面是正常的,只是我们在页面执行js的过程中,会把攻击代码植入到页面中
例3
1、用户误点开了带攻击的url :http://xxx?name=<script>alert('aaa')</script>

2、网站给受害者的返回中正常的网页

3、用户的浏览器收到文本后执行页面合法脚本,这时候页面恶意脚本会被执行,会在网页中弹窗aaa

这种攻击方式发生在我们合法的js执行中,服务器无法检测我们的请求是否有攻击的危险

昊喵喵博士
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js-xss:使用白名单指定的配置对不受信任HTML进行清理(以防止XSS
02-27
使用白名单指定的配置对不受信任HTML进行清理(以防止XSS)。 xss是用于过滤用户输入以防止XSS攻击的模块。 ( ) 项目主页: : 在线尝试: : 特征 指定HTML标记及其白名单允许的属性 使用自定义功能处理所有标签或属性。 参考 基准(仅供参考) xss模块:22.53 MB / s 来自模块[email protected] xss()函数:6.9 MB / s 有关测试代码,请参考benchmark目录。 他们正在使用xss模块 nodeclub-使用MongoDB的Node.js bbs- cnpmjs.org-企业专用npm注册表和网站-https : 安装 NPM npm install xss 凉亭 bower install xss 或者 bower install https://github.com/leizongmin/js-xss.gi
前端安全 — 浅谈JavaScript拦截XSS攻击
天存信息
06-28 2046
前端安全 — 浅谈JavaScript拦截XSS攻击一、XSS攻击类型1. 存储型XSS(持久型)2. 反射型XSS(非持久型)3. DOM XSS二、XSS攻击的危害三、JavaScript拦截1. 编码2. 内联事件及内联脚本3. 静态脚本4. 动态脚本5. 上报攻击信息 XSS/跨站脚本攻击,是一种代码注入网页攻击攻击者可以将代码植入到其他用户都能访问到的页面(如论坛、留言板、贴吧等)中。...
XSS漏洞的HTML和JS基础
2301_80361487的博客
01-23 508
HTML 标签的大小写无关的,例如 和 表示的意思是一样的,都代表“主体”,推荐使用小写。1.事件(Event)是JavaScript应用跳动的心脏,也是把所有东西粘在一起的胶水,当我们与浏览器中 Web页面进行某些类型的交互时,事件就发生了。 //HTML文档的元数据,机器可读,如">test //标题标签 ,位于页面最上方定义浏览器工具栏中的标题。
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
【前端安全】JavaScript防XSS攻击
qq_43288091的博客
09-27 7795
1.攻击过程 1、攻击者通过评论表单提交将 &lt;script&gt;alert(‘aaa’)&lt;/script&gt;提交到网站 2、网站后端对提交的评论数据不做任何操作,直接存储到数据库中 3、其他用户访问正常访问网站,并且需要请求网站的评论数据 4、网站后端会从数据库中取出数据,直接返回给用户 5、用户得到页面后,直接运行攻击者提交的代码,所有用户都会在网页中弹出aaa的弹窗 这种攻击...
使用 js-xss 防御 xss 攻击
晴天有点孤单
03-29 4641
xss攻击是很常见的一种攻击方式,下面简单讲一下前端如何防御。 讲之前简单涉及一点后端防御的方案: 在前后端交互的时候做好特殊符号的转义 下面重点是前端使用js-xss防御 npm install xss --save main.js引用 import xss from 'xss' Vue.use(xss); Object.defineProperty(Vue.prototype, '$xss', { value: xss })// click事件被过滤 3.html 中防御 <p
xss注入
weixin_45711977的博客
06-29 1818
xss注入
安全攻防之XSS
weixin_57543652的博客
03-04 765
在万物互联的时代,数据安全与个人隐私受到前所未有的挑战,各种攻防策略层出不穷,深入了解攻防底层的原理刻不容缓。本文旨在将日常开发上遇见的问题作总结,通过不断补全安全攻防方面的知识,形成对安全攻防体系有良好的运用。
XSS注入常用语句(整理)
weixin_34211761的博客
09-16 3271
<script>alert('hello,gaga!');</script> //经典语句,哈哈! >"'><img src="javascript.:alert('XSS')">>"'><script>alert('XSS')</script><table background='javascript.:...
聊一聊这个总下载量36039K的XSS-NPM库,是如何工作的?
Tz
01-03 925
上篇文章这一次,彻底理解XSS攻击讲解了XSS攻击的类型和预防方式,本篇文章我们来看这个36039K的XSS-NPM库(你没有看错就是3603W次, 36039K次,36,039,651次,数据来自https://npm-stat.com),相信挺多小伙伴在项目中,也用到了这个库。 话不多说,我们来看~ js-xss简介 js-xss是一个用于对用户输入的内容进行过滤,以避免遭受 XSS 攻击的模块(什么是 XSS 攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、格式控制相关的 HT.
Web应用安全:XSS通过JavaScript攻击(实验).docx
06-20
XSS通过JavaScript攻击 一、实验目的 了解XSS的有关知识; 了解XSS通过JavaScript实际操作; 了解XSS攻击原理。 二、实验内容 在Kali上安装beef-xss工具; 在站点上进行XSS JavaScript攻击。 (附加题)使用beef...
Web安全性测试之XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。...作为测试人员,需要了解XSS的原理,攻击场景,如何修复。才能有效的防止XSS的发生。假如有下面一个textbox<inputtype=
Web安全测试之XSS实例讲解
01-19
作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。 阅读目录 XSS 是如何发生的 HTML Encode XSS 攻击场景 XSS漏洞的修复 如何测试XSS漏洞 HTML Encode 和URL Encode的区别
csrf-nosqli-xss-application:演示CSRF,NoSQL注入和XSS漏洞和保护的示例应用程序
05-11
master分支由unprotected分支和fix-*分支的合并组成,这意味着它包含的代码至少在理论上受到了上述三种类型的攻击的保护。 如果您发现任何缺陷,我很乐意在此项目的“问题”页面上了解它们! 特征 该应用程序本身...
-Node.js-Application-Security:Packt发布的Node.js应用程序安全性代码存储库
05-28
Node.js应用程序安全性[视频] 这是发布的的代码存储库。... 然后,我们将研究跨站点脚本攻击XSS)和跨站点请求伪造攻击,以及保护应用程序免受攻击的方法。 然后,您将通过在Amazon EC2服务器实例上实现SSL / TL
什么是 XSS 攻击
m0_38066007的博客
04-23 80
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
ctfshow——XSS
最新发布
qq_55202378的博客
04-24 1033
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
pikachu-xss
2303_81631620的博客
04-23 331
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 951
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
测试人员如何测试XSS跨站脚本攻击
07-08
测试人员可以采取以下步骤来测试应用程序中的 XSS(跨站脚本攻击)风险: 1. 理解应用程序:首先,测试人员需要充分了解应用程序的功能、数据流和相关的输入输出点。这有助于确定哪些输入点可能存在 XSS 的潜在风险。 2. 识别潜在注入点:测试人员需要识别应用程序中的潜在注入点,包括用户输入的表单、URL 参数、Cookie、HTTP 头等。检查这些输入点是否直接或间接地被用于生成输出,特别是通过动态生成 HTML、JavaScript 或其他可执行代码的方式。 3. 构造恶意输入:测试人员应该构造恶意输入,包括各种 XSS 攻击载荷,如 `<script>` 标签、事件处理函数、特殊字符、恶意链接等。通过向注入点发送这些恶意输入,测试人员可以模拟攻击者的行为并观察应用程序的反应。 4. 观察系统行为:测试人员需要观察系统对恶意输入的处理方式。如果应用程序对输入进行了正确的过滤和转义处理,那么恶意代码不应该被执行或产生任何危害。如果系统对恶意输入没有进行处理或处理不当,那么可能存在 XSS 风险。 5. 检查输出点:测试人员需要检查应用程序生成的输出,包括网页内容、响应报文、错误信息等。查看是否存在任何未经过滤或未转义的用户输入被嵌入到生成的 HTML 或 JavaScript 代码中的情况。 6. 执行攻击载荷:如果测试人员发现了 XSS 漏洞,可以尝试执行一些实际的攻击载荷,如弹窗、重定向、窃取 Cookie 等。然而,在进行攻击载荷测试时需要谨慎操作,避免对系统造成不可逆的损害。 7. 提供修复建议:最后,测试人员应该提供详细的测试报告,包括发现的 XSS 漏洞、漏洞的风险等级以及修复建议。这有助于开发团队及时修复漏洞并提高应用程序的安全性。 需要注意的是,测试人员在进行安全测试时应遵循法律和道德规范,并获得相关授权来测试目标应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值