OWASP列举的Web应用程序十大安全漏洞 - 跨站脚本 (XSS攻击)

已于 2022-02-11 13:12:25 修改
阅读量340 收藏 1
点赞数
分类专栏: java web安全 互联网 文章标签: web安全 java
于 2022-02-11 13:11:52 首次发布
互联网 同时被 3 个专栏收录
50 篇文章 0 订阅
订阅专栏
java
14 篇文章 0 订阅
订阅专栏
web安全
5 篇文章 0 订阅
订阅专栏

跨站脚本 (XSS攻击)

1、原理

Cross Site Scripting,XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS

向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每个访问该帖子/文章的人就会触发执行。

2、典型案例

案例1:发一篇文章,里面包含了恶意脚本,如下:今天天气不错啊!<script>alert('handsome boy')</script>; 后端没有对文章进行过滤,直接保存文章内容到数据库; 当其他看这篇文章的时候,包含的恶意脚本就会执行。

3、防范方法

  1. 替换关健字符或转义特殊字符。替换的内容主要是在用户提交到后台的并且会在其他用户界面显示的数据。
  2. 对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。页面上直接输出的所有不确定(用户输入)内容都进行转译。如输出使用<c:out>标签等
Survivor001
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP发布Web应用程序十大安全风险
07-16
OWASP发布Web应用程序十大安全风险
OWASP Top 10--跨站脚本(XSS)》
ccAbner的博客
05-07 766
说明:本文章仅限于对跨站脚本漏洞的学习和了解        跨站脚本漏洞,即XSS发生在当应用程序发送给浏览器的页面中包含用户提供的数据,而这些数据没有经过适当的验证或转义(Escape)或没有使用安全JavaScript API。1、定义        跨站脚本攻击(Cross Site Scripting),缩写为XSS(为了避免与样式CSS混淆,缩写为XSS),恶意攻击者往Web页面里插入...
OWASP TOP10 漏洞详解
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
04-06 1522
该内容是 OWASP TOP 10 的学习笔记,笔记内容来源 B 站龙哥的视频【
OWASP TOP10漏洞——XSS入门级理解,小白也能一看就会
weixin_46108049的博客
01-16 1581
记录学习记录成长XSS(Cross Site Scripting)即跨站脚本如果直接拿文字看定义相必是难以理解。
什么是XXS攻击?
qq_37711049的博客
02-20 250
当其他用户浏览该网站时,该段html代码会自动执行,从而达到攻击的目的,把精心构造好的恶意脚本包装在URL参数中,再将这个URL发布到网上,如盗取用户的Cookie,破坏页面结构,重定向到其他网站等。从而导致每个正常访问到的用户都会遭到这段XSS脚本的攻击。Cross-site script,跨站脚本攻击。对一个页面的URL中的某个参数做文章,对客户端攻击的脚本植入到服务器上,骗取用户访问,从而进行攻击。
OWASP TOP 10漏洞
qq_61412565的博客
08-13 82
txtSearch <iframe > <src = http://google.com width = 500 height 500> </ iframe> 上面的脚本运行时,浏览器会加载一个指向http://google.com的隐形框。最高的是完整的系统崩溃,最低的是什么都没有。http://www.vulnerablesite.com/userid=123修改为http://www.vulnerablesite.com/userid=124 攻击者可以通过更改用户标识值来查看其他信息。
自学网络安全(白帽黑客)必看!OWASP十大漏洞解析!
m0_74131821的博客
06-12 5306
在学习网络安全之前,需要总体了解安全趋势和常见的Web漏洞,在这里我首推了解OWASP,因为它代表着业内Web安全漏洞的趋势
TWO DAY | WEB安全OWASP TOP10漏洞
EverUP
05-15 5485
OWASP:开放式Web应用程序安全项目(Open Web Application SecurityProject),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web应用程序安全风险列表”
【渗透测试】OWASP 及其 10 个漏洞
baidu_31295661的博客
03-17 5033
在这篇文章中,我们将讨论开放 Web 应用程序安全项目 (OWASP) 的 10 个漏洞,并分享一些预防措施来防范这些漏洞。 OWASP 的全称是 Open Web Application Security Project。它是一个非营利组织,帮助各种组织开发、购买和维护可信赖的软件应用程序OWASP 要求受过教育的开发人员、设计师、架构师和业务所有者来识别与最常见的 Web 应用程序安全漏洞相关的风险。 OWASP 被称为论坛,因为它支持开源和商业安全产品,信息技术专业人员可以在其中建立网络和建立
OWASP TOP 10漏洞分析
weixin_54535828的博客
05-07 2384
1.注入 - Injection 2.跨站脚本 - (XSS) 3.失效的验证和和会话管理 4.不安全的直接对象访问 5.跨站请求伪造 - (CSRF) 6.不正确的安全设置 7.不安全的加密存储 8.URL访问限制缺失 9.没有足够的传输层防护 10.未验证的重定向和跳转 注入-Injection 1、虽然还有其他类型的注入攻击,但绝大多数情况下,问题设计的都是SQL注入 2、攻击者通过发送SQL操作语句,达到获取信息、篡改数据库、控制服务器等目的。是目前费长流行的WEB攻击手段 3、流行性:常见;危
Web应用程序XSS攻击的检测:一种机器学习方法-研究论文
05-20
Web应用程序和网站上的所有不同类型的网络攻击中,XSS跨站脚本)攻击是最常见的攻击形式之一。 XSS攻击Web安全中的一个主要问题,在OWASP(开放Web应用程序安全性项目)的前10名中排名第二。Web应用程序...
漏洞Web应用程序OWASP漏洞Web应用程序项目https://github.comhummingbirdscyber
01-30
易受攻击的Web应用程序 什么是漏洞网络应用 Vulnerable-Web-Application是一个网站,面向对网络渗透感兴趣并且希望拥有有关此主题的信息或正在工作的人们。 实际上,该网站的安装和使用非常简单。 漏洞Web应用程序...
owasp:练习编写针对Web应用程序OWASP十大漏洞的攻击
03-16
owasp:练习编写针对Web应用程序OWASP十大漏洞的攻击
OWASP-TOP-10漏洞之XSS
leah126的博客
11-15 113
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
OWASP TOP 10 之第二大漏洞----XSS跨站脚本攻击)
qq_45926195的博客
09-28 377
目录 2.1原理 2.2什么是xss 2.3xss的危害 2.4xss分类 2.5xss绕过 2.6xss绕过htmlspecialchars()函数 2.7xss防范 2.8常用的工具 2.1原理 参数输入前未经过滤,输入后未经转义,攻击者的脚本输入后,在前端被浏览器当做有效代码解析执行,从而产生危害。 xss属于客户端攻击,受害者是用户 2.2什么是xss XSS全称(Cross Site Scripting跨站脚本攻击,XSS属于客户端攻击,受害者最终是用户,但特别要注意的
owasp top 10上的常见漏洞
qq_52929642的博客
10-05 279
声明本篇文章仅用于学习交流!!!如果有和我一样刚学的萌新也非常欢迎在评论区发表你自己的理解,我也会和你一起讨论学习,一起进步。
owasp十大漏洞_OWASP十大网络应用安全漏洞
weixin_39530557的博客
12-06 2079
OWASP(The Open Web Application Security Project)是一个提供关于网络应用安全的无偏见、实用信息的非盈利组织。OWASP十大网络应用程序安全风险在2017年进行了更新,并向开发人员和安全专业人员提供有关网络应用程序中常见的最关键漏洞的指导。列出的这10类应用风险是危害最大的,可能允许攻击者植入恶意软件、窃取数据或完全接管您的计算机或网络服务器。应用程序安...
跨站脚本XSS)攻击方法及工具
06-07
跨站脚本XSS)攻击方法涉及以下工具和方法: 1. 存储型XSS:攻击者将恶意脚本注入到应用程序中,当其他用户访问该页面时,恶意脚本会被执行。攻击者可以使用常见的 HTML 标签和 JavaScript 语法来注入恶意脚本。工具包括 Burp Suite、OWASP ZAP、Netsparker、Acunetix等。 2. 反射型XSS:攻击者将恶意脚本注入到 URL 中,当用户点击该 URL 时,恶意脚本会被执行。攻击者可以使用常见的 HTML 标签和 JavaScript 语法来注入恶意脚本。工具包括 Burp Suite、OWASP ZAP、Netsparker、Acunetix等。 3. DOM 型 XSS:攻击者将恶意脚本注入到应用程序中,当用户与该页面交互时,恶意脚本会被执行。攻击者可以使用常见的 HTML 标签和 JavaScript 语法来注入恶意脚本。工具包括 Burp Suite、OWASP ZAP、Netsparker、Acunetix等。 需要注意的是,这些工具只能作为发现 XSS 漏洞的参考,最终的确诊需要经过深入的分析和验证。同时,在应用程序设计和开发阶段,应该采用以下措施来减少 XSS 攻击的风险: 1. 输入过滤:过滤和验证用户输入,以确保用户输入不包含恶意脚本。 2. 输出编码:对于所有输出到页面上的数据,都应该进行编码,以避免恶意脚本被执行。 3. 设置 HTTP 头:设置 HTTP 头,以防止浏览器执行恶意脚本。例如,设置 Content-Security-Policy 头、X-XSS-Protection 头等。 4. 使用安全的 Cookie:避免使用敏感信息存储在 Cookie 中,使用 HttpOnly 和 Secure 标志来保护 Cookie。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值