OWASP列举的Web应用程序十大安全漏洞 - 跨站脚本 (XSS攻击)

已于 2022-02-11 13:12:25 修改
阅读量378 收藏 1
点赞数
分类专栏: java web安全 互联网 文章标签: web安全 java
于 2022-02-11 13:11:52 首次发布
互联网 同时被 3 个专栏收录
50 篇文章 1 订阅
订阅专栏
java
14 篇文章 0 订阅
订阅专栏
web安全
5 篇文章 0 订阅
订阅专栏

跨站脚本 (XSS攻击)

1、原理

Cross Site Scripting,XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS

向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每个访问该帖子/文章的人就会触发执行。

2、典型案例

案例1:发一篇文章,里面包含了恶意脚本,如下:今天天气不错啊!<script>alert('handsome boy')</script>; 后端没有对文章进行过滤,直接保存文章内容到数据库; 当其他看这篇文章的时候,包含的恶意脚本就会执行。

3、防范方法

  1. 替换关健字符或转义特殊字符。替换的内容主要是在用户提交到后台的并且会在其他用户界面显示的数据。
  2. 对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。页面上直接输出的所有不确定(用户输入)内容都进行转译。如输出使用<c:out>标签等
Survivor001
关注
专栏目录
owasp十大安全漏洞_OWASP十大漏洞
cuyi7076的博客
07-07 8358
OWASP 免费试用AppScan Standard IBM Security AppScan Standard可帮助您检测和纠正OWASP10名列表中发现的许多类型的安全问题。 您可以下载AppScan Standard的试用版并自己进行测试。 开放式Web应用程序安全项目(OWASP)是一个致力于增强Web应用程序安全性的国际组织。 作为其使命的一部分,OWASP赞助了众...
前端安全(3):预防跨站脚本(Cross-Site ScriptingXSS
imagine_tion的博客
12-10 2557
一、如何预防XSS XSS 攻击有两⼤要素: 攻击者提交恶意代码。 浏览器执⾏恶意代码。 针对第⼀个要素:我们是否能够在⽤户输⼊的过程,过滤掉⽤户输⼊的恶意代码呢? 输入过滤 在⽤户提交时,由前端过滤输⼊,然后提交到后端。这样做是否可⾏呢? 答案是不可⾏。⼀旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。 那么,换⼀个过滤时机:后端在写⼊数据库前,对输⼊进⾏过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?我们举⼀个例子,⼀个正常的⽤户输⼊了 5 < 7 这个内容,在写入数
OWASP十大安全漏洞
01-12
总结和学习了2017年新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述,详见ppt
OWASP TOP 10漏洞及防范
阳光灿烂的日子的博客
06-19 2771
A1 注入 Injection Web安全头号大敌。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。 SQL注入实例 防范: 1.使用安全的API,避免使用解释器或提供参数化的接口(...
Web安全OWASP TOP 10 漏洞详解及防御方式
最新发布
2301_77513396的博客
08-26 2602
OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)发布的十大最严重、最普遍的Web应用程序安全漏洞。这些漏洞在当今的Web应用程序中非常普遍,而且具有很高的危害性。因此被视为web应用程序安全领域必须认真防范和修复的关键问题。而且大家去应聘安全测试岗位或有安全技能要求的软件测试岗位,熟悉OWASP TOP 10漏洞是必备要求。下面对OWASP TOP 10进行逐一介绍。
owasp十大漏洞简单了解
qq_53639387的博客
11-23 434
1. A01:2021 – 访问控制中断 因素 已映射的 CWE 最大发病率 平均发病率 平均加权漏洞 平均加权影响 最大覆盖范围 平均覆盖范围 总发生次数 平均节能总额 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 概述 从第五位上升到第五位,94%的应用程序接受了某种形式的中断访问控制的测试,平均发生率为3.81%,并且
OWASP A2 XSS跨站脚本
ID33Dhy的博客
09-15 194
OWASP A2 XSS跨站脚本 一.什么叫xss XSS叫做跨站脚本攻击,网站页面对于用户输入的内容过滤不严格,导致恶意代码被植入网站,也属于注入攻击,常见危害盗取用户cookie,session劫持攻击,钓鱼攻击等。 二.XSS分类 2.1存储型XSS(严重) 存储型XSS一般存在于论坛,评论区等,存在于用户写入数据的地方,并且网站的安全策略对于用户输入的内容缺少有效的过滤,导致攻击者植入具有攻击性质的代码,存放入服务器,盗取用户cookie,无需使用用户的密码即可登录用户账号,也叫作持久型XSS. /
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
01-11
7. A7: 2017-跨站脚本XSS):XSS漏洞允许攻击者向网站用户注入恶意脚本代码。当其他用户浏览含有XSS攻击代码的页面时,脚本会在他们的浏览器中执行。 8. A8: 2017-不安全的反序列化(Insecure Deserialization)...
OWASP 2010十大Web应用安全风险详解
十大风险包括注入漏洞、跨站脚本XSS)、身份验证和会话管理缺陷、不安全的直接对象引用、跨站请求伪造(CSRF)、配置错误、不安全的加密存储、缺乏URL访问限制、传输层保护不足以及未经验证的重定向和转发。...
XSS攻击修改服务器的代码,Web安全系列之XSS攻击
weixin_36202642的博客
08-11 1687
什么是XSS攻击XSS(Cross Site Scripting)中文名称是:跨站脚本攻击。XSS重点不在跨站,而在于执行的脚本XSS的原理是指攻击者利用网站的安全漏洞,向web页面中插入一段恶意的script代码,当用户浏览网页时,执行脚本,攻击者就可以非法获取用户的敏感信息(如cookie、账号密码等),从而达到攻击的目的。XSS的类型从攻击代码的工作方式可以分为三个类型:1、反射型XSS。...
OWASP_Broken_Web_Apps_VM_1.2
02-16
**OWASP Top Ten**是一份由OWASP基金会发布的、列举了当前最常见和最危险的Web应用程序安全漏洞列表。OWASP Broken Web Apps VM 1.2中包含的主要漏洞类型包括: 1. **A1: Injection**(注入) - SQL注入 - 命令...
OWASP十大安全漏洞解析
11-08
结和学习了2017年新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述
OWASP十大安全漏洞.pptx
11-07
OWASP Top 10 OWASP发布的新版十大安全漏洞和防御方法 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织。它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团,没有商业压力,我们能够提供无偏见、切实可行的、同时具有成本效益的应用安全信息 核心目的:成为繁荣发展的全球性组织,推动全球软件安全的革新与发展。
OWASP 十大常见漏洞
Wrop的博客
06-27 1238
OWASP十大安全风险包括SQL注入、身份认证缺陷、数据泄露等常见漏洞
owasp十大漏洞_OWASP十大网络应用安全漏洞
weixin_39530557的博客
12-06 2156
OWASP(The Open Web Application Security Project)是一个提供关于网络应用安全的无偏见、实用信息的非盈利组织。OWASP十大网络应用程序安全风险在2017年进行了更新,并向开发人员和安全专业人员提供有关网络应用程序中常见的最关键漏洞的指导。列出的这10类应用风险是危害最大的,可能允许攻击者植入恶意软件、窃取数据或完全接管您的计算机或网络服务器。应用程序安...
OWASP 十大漏洞研究
一分耕耘一分收获
03-10 4308
首先要说一下,本文很多摘抄自此博客,这位同学珠玉在前不敢擅用,大家有兴趣可以直接看此博客。 (19条消息) OWASP top 10漏洞原理及防御(2017版官方)_wwl012345的博客-CSDN博客_top10漏洞原理 但是在此文的基础上,我又新增了其他内容,以作自己的知识体系。 所谓的OWASP 十大漏洞,每年并不完全一样,所以在我的图表中其实是有12种类漏洞的。 标题 注入 注入攻击是指攻击者在输入数据时向解释器提交一些非法或者未授权的命令来欺骗解释权,使解释器错误的执行.
OWASP top 10 (2017) 学习笔记--跨站脚本XSS
01-16 194
A7:2017 跨站脚本XSS) 漏洞描述: 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建HTML或JavaScript 的浏览器API 更新现有的网页时,就会出现XSS 缺陷。 漏洞影响: 常见危害为窃取凭证为主。该漏洞的危害性由JavaScript代码决定,可参见相关XSS平台或BEEF工具。 检测场景: 基于不同标签的检测命令: ...
OWASP Top 10安全漏洞
qq_73792226的博客
08-06 477
1. 注入漏洞(Injection) 原理:攻击者向应用程序中输入恶意代码,使其执行未经授权的操作。 常见类型:SQL注入、OS命令注入等。 防御措施:使用预编译语句或存储过程进行数据库查询;对输入进行严格的验证和清理;使用ORM框架等。 2. 失效的身份认证(Broken Authentication) 原理:身份认证机制不健全,导致攻击者能够绕过认证机制,冒充其他用户。 常见类型:密码猜测、会话劫持等。 防御措施:使用多因素认证增强安全性;采用强密码策略并定期更换密码;对会话管理进行加密等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值