2021年3月1日学习笔记(xss攻击小笔记)

最新推荐文章于 2021-07-01 00:35:33 发布
最新推荐文章于 2021-07-01 00:35:33 发布
阅读量222 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31910395/article/details/114271057
版权

​ 学习springboot时遇到防范xss的提示,查询了一下xss攻击:https://zhuanlan.zhihu.com/p/26177815

​ xss攻击就是攻击者恶意上传一段前段脚本代码,其他用户的浏览器在解析过程中误将其执行,从而采取的攻击,有sql注入的味道。

例如:

​ 有一个留言板界面显示所有用户的留言,有一个恶意用户留言上传了一段代码<script>alert('you are attacked')</script> 那么其他用户访问该留言板时,就会出现如下情况:

<html>
  ···
	<div>
 	 用户评论...
	</div>
  ···
  <div>
 	 用户评论...
	</div>
  ···
  <div>
 	 <script>alert('you are attacked')</script>
	</div>
  ···
</html>

此时若无防范措施,脚本便会被执行,可执行危害性较大的脚本。

参考文献:https://zhuanlan.zhihu.com/p/26177815








今日总结:上午课程:智能电网技术,好像不太水的样子,即将学习SAP、ERP系统;下午课程:数据挖掘。晚上看了一点点springboot没看完,看了xss攻击查了资料写了点笔记,晚上看了高数第一章,图书馆里人好多,都是用的汤神的视频,有的我瞟了一眼已经看到三重积分,我也不能落下哈。今晚完成:看高数基础班视频第一章并记录笔记、继续学习科创技术、看tensorflow看的玩

再努力也垃圾,再垃圾也努力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【愚公系列】202305 Web渗透测试之XSS攻击
时光隧道
08-24 5万+
XSS (Cross Site Scripting) 指的是一种 Web 安全漏洞,攻击者在网站上注入恶意代码,使用户的浏览器执行该恶意代码,从而实施攻击。XSS 主要分为反射型、存储型和 DOM 型三种类型。反射型 XSS:攻击者通过发送一些包含恶意代码的链接或者诱导用户点击带有恶意代码的链接,使得用户浏览器执行了恶意代码,从而实现攻击目的。存储型 XSS:攻击者将恶意代码存储在网站的数据库中,当用户请求特定页面时,服务器将存储的恶意代码返回给用户浏览器,从而实现攻击目的。
XSS学习笔记
m0_47599604的博客
03-18 567
XSS介绍以及分类 XSS介绍 XSS (cross site scripting)跨站脚本,较适合的方式应该叫做跨站脚本攻击,诞生于1996,人们经常将跨站脚本攻击(cross site scripting)缩写为CSS,但这会层叠样式表(cascading style sheets,CSS )的缩写混淆,因此,有人把跨站脚本攻击缩写为XSS。 分类 反射型(非持久型): 攻击者事先做好攻击链接,需要欺骗用户自己去点击链接才能触发漏洞。 存储型(持久型): payl..
XSS攻击笔记
F_i_n_n的博客
06-30 201
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 ————百度百科 xss有三种分别是:反射型 ,储存型 ,DOM型 反射型: 下面为一个测试的表单页面: XSS
2021/2/11-XSS总结
weixin_49287420的博客
02-11 387
2021/2/11-XSS总结 1.xss有哪几种类型 存储型 反射型 DOM型 2、xss中文名称 跨站脚本攻击 3、一般怎么快速发现存储型xss漏洞 见框就插 寻找留言点 登录框 4、反射型和存储型的区别 最本质的区别就是存储型xss和数据库有交互数据是从数据库取出,反射型是用户输入什么返回什么 5、常见的反射型xsspayload <img src=1 onerror=alert("xss");> <input onfocus="alert('xss');"> &l
2021318-321学习笔记
qq_45485278的博客
03-21 380
2021318-321学习笔记 数据结构与算法线性表 1.从顺序表中删除具有最小值的元素(假设唯一)并由函数返回被删元素的值。空出的位置由最后一个元素填补,若顺序表为空,则显示出错误信息并退出运行。 bool Del_Min(sqList &L,Elemtype &value){ //删除顺序表L中最小值元素结点,并通过引用型参数value返回值 //若删除成功,则返回true,否则返回false if(L.length==0) return false;
强化学习-2021学习笔记
xieanna123的博客
12-11 754
强化学习中文文档 第一章 简介 当我们思考学习的本质时,我们首先想到的是通过与环境交互来学习。 当一个婴儿玩耍,挥动手臂或环顾四周时,他没有明确的老师,但他确实通过直接的感觉与环境联系。 他可以通过这种联系获得大量关于因果关系、动作的结果以及如何实现目标的信息。 在我们的生活中,这种交互无疑是环境和自身知识的主要来源。 无论我们是学习驾驶汽车还是进行交谈,我们都敏锐地意识到我们的环境如何响应我们的...
【安全牛学习笔记】反射型XSS攻击漏洞的原理及解决办法
热门推荐
edu_aqniu的博客
10-23 1万+
发射型XSS 漏洞的原理及修复方法 1.常见的触发场景 2.漏洞原理 3.漏洞危害 4.一些tips 5.如何避免&修复漏洞 直接将用户数据输出到浏览器,没有做安全处理 搜索: www-data@:~/controller$ vim searchController.class.php class secrchController
PHP学习笔记、PHP实例
12-12
时间戳是从197011午夜(格林威治标准时间)到现在的秒数。在使用`date()`函数时,可以通过在格式字符串中包含特定的字母来定制输出,例如“d”表示一个中的期,“m”表示份,“Y”表示四位数的份。 #...
【安全牛学习笔记】存储型XSS和BEEF浏览器攻击框架
edu_aqniu的博客
09-30 4880
存储型XSS                                                               长期存储于服务器端                                            每次用于访问都会被执行javascript脚本                    Name:客户端表单长度限制           
Web安全学习笔记
11-03
1. 零攻击:针对未知漏洞的攻击,强调及时更新补丁,提高应急响应能力。 2. API安全:API成为攻击新目标,需要实施严格的认证、授权和限流机制。 3. 云安全:随着云服务的普及,需关注数据隔离、身份验证和访问...
xssproxy:将freedesktop.org空闲抑制服务呼叫转发到Xss
05-22
xssproxy 将freedesktop.org空闲抑制服务呼叫转发到Xss 描述 xssproxy实现了由freedesktop.org开发人员在“描述的org.freedesktop.ScreenSaver D-Bus接口。 然后使用的XScreenSaverSuspend函数控制屏幕保护程序的禁止。 用法 要使用,请在您的〜/ .xinitrc文件中运行。 该程序不会返回,因此您需要在后台运行它。 xssproxy & 安装 德比安 sudo apt-get install xssproxy 操作系统 nix-env -i xssproxy 编译中 make make install
【安全牛学习笔记】XSS-简介、跨站脚本检测和常见的攻击利用手段
edu_aqniu的博客
11-28 280
XSS 攻击WEB客户端 客户端脚本语言     弹窗警告、广告     Javascript     在浏览器中执行 XSS(cross-site scripting)     通过WEB站点漏洞,向客户端交付恶意脚本代码,实现对客户端的攻击目的     注入客户端脚本代码     盗取cookie     重定向 VBScrip
2021-07-01-web安全之XSS攻击和Cookie知识详解(一)
公子&小白的博客
07-01 743
文章目录XSS攻击XSS攻击原理XSS攻击类型反射型XSS存储型XSSDOM XSS手动检测XSS全自动检测XSSXSS高级利用XSS会话劫持Cookie理解Cookie内容详解 XSS攻击 XSS又叫CSS,即跨站脚本攻击—攻击者通过浏览器在网页中嵌入客户端脚本,通常是js恶意代码,当用户使用浏览器时,脚本就会在浏览器上执行 XSS是客户端攻击,受害者最终是用户,但是管理员也是用户,管理员权限很大,受到攻击影响很严重 XSS攻击原理 XSS攻击原理:引诱用户去点击其脚本,通过运行其脚本获取Cooki
2021Kali系列 -- XSS漏洞(Beef-xss)
weixin_41489908的博客
04-14 1937
​当我不欠任何人的时候,我就只欠我自己了。。。 ----网易云热评 一、安装beef-xss 输入beef-xss,提示安装,输入y 二、启动beef-xss 三、访问登陆页面: http://192.168.139.133:3000/ui/panel 四、让目标主机访问存在生成的钩子代码 http://192.168.139.129:81/dvwa/vulnerabilities/xss_r/?name=<script src="http://192.168.139.1.
顶尖电子称条码秤LS系列称固件,最新固件,固件
最新发布
08-28
顶尖电子称条码秤LS系列称固件,最新固件,固件
爬取淘宝热销(热门)咖啡商品信息数据集
08-28
本资源旨在收集淘宝平台上热销咖啡商品的相关信息,包括但不限于:店铺所在省份、城市位置、商品名称、销售价格、销量数据、单价(以人民币计)、付款人数、是否提供包邮服务、是否来自天猫平台以及满减优惠的详细信息。这些信息均来源于淘宝平台的公开透明数据,可供学习参考之用。请注意,本资源仅用于学术研究和个人学习目的,不得用于商业用途或其他非法活动。
爬取的淘宝新品推荐男装商品信息公开透明数据集
08-28
本资源专注于收集淘宝平台最新推荐的男装商品信息,内容涵盖商品的店铺所在省份、城市位置、商品的名称、销售价格、累积销量、单价(以人民币计价)、付款的顾客人数、是否提供包邮服务、是否为天猫平台的商品,以及相关的满减优惠情况。这些详细的数据点均来源于淘宝平台的公开透明信息,经过精确抓取和整理,旨在为分析电商平台上的新品推荐策略和消费者购买行为提供实用数据。 这些数据严格遵循淘宝平台的公开政策和隐私保护原则获取,确保了信息的合法性与合规性。然而,本资源仅作为学习参考之用,意在帮助研究人员、市场分析师或学生等理解电商领域的商品推荐机制、销售动态及市场趋势。 任何将此数据用于商业目的或其他未授权的活动都是不恰当的,甚至可能触犯相关法律条款。 在使用这些数据进行学术研究或个人学习时,用户应自觉遵守相关法律法规,尊重数据来源和版权,正确引用数据源,并不得用于任何形式的商业盈利。
STM32F4的环境配置,可直接运行STM32F4系列的芯片
08-28
STM32F4的环境配置,可直接运行STM32F4系列的芯片
技术资料PCB资料模拟电子技术资料03j.zip
08-28
技术资料PCB资料模拟电子技术资料03j.zip
理解Web安全:XSS攻击类型与防御策略
"Web安全之XSS攻击与防御小结" XSS攻击是Web应用程序中常见的安全威胁之一,它涉及到攻击者向网站注入恶意脚本,这些脚本在用户的浏览器中执行,可能导致敏感信息泄露、会话劫持或者执行其他恶意操作。攻击者通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值