XSS简介

最新推荐文章于 2024-04-23 15:11:40 发布
最新推荐文章于 2024-04-23 15:11:40 发布
阅读量464 收藏
点赞数 1
分类专栏: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32393893/article/details/106665738
版权

XSS也叫跨站脚本,是网站中最常见的漏洞之一。

绝大多数的网站是由html+css+javascript组成,html搭建起来了网站的基本的框架,保证了基本的网页信息浏览。css使网站渲染的更好看,Javascript是网站的灵魂,能让网站动起来,与用户进行交互,但是也潜藏着隐患。

XSS原理:

大多数网站都有搜索功能、用户登陆功能、留言评论功能等等,当用户在这些功能框中没有输入正常的语句,反而输入了恶意的JavaScript代码,并且网站没有对这些恶意的Javascript代码进行过滤拦截,使得这些恶意的JavaScript在网站中进行了执行,这样就形成了XSS攻击。

'"><script>alert(1)</script>是常用的测试XSS的JavaScript代码,<script> </script>表示这是JavaScript语言,应该以JavaScript语言进行执行 alert()代表着弹窗 ,1就是弹窗的内容。

XSS常用的测试语句:

'"><h1>xss</h1> :<h1></h1>代表着1号字体,如果你的网页上出现了1号字体的XSS字样,说明你输入的JavaScript代码得到了执行,很有可能存在XSS漏洞。

'"><script>alert(1)</script> 如果出现弹窗,则证明一定存在漏洞。

如果发现script 被过滤掉了 无法进行使用,可以使用Javascript事件,只要满足条件,它就会执行

比如:'">οnclick="alert(1)  onclick事件,检测到鼠标进行点击,就会执行后面的alert(1),进行弹窗

'">οnmοusemοve=“alert(1) onmousemove事件,检测到鼠标进行移动,就会执行后面的alert(1)进行弹窗

shy014
关注
专栏目录
【Web安全】XSS简介XSS测试平台截取用户COOKIE的探索
李响
03-15 1069
文章目录1 XSS简介2 XSS分类3 XSS原理演示4 XSS测试平台使用4.1 指引文档4.2 勾选默认模块测试成功的返回值 1 XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入...
XSS漏洞-02】XSS靶场介绍(含BlueLotus_XSSReceiver、DVWA、XSS-labs等)
m0_64378913的博客
05-13 2534
1 XSS靶场简介 XSS-labs:一款以练习测试XSS思路和命令的闯关游戏,主要是以反射型XSS漏洞为主。 DVWA:一个功能较全的靶场环境,漏洞类型齐全,包含在XSS三种类型的漏洞,各有4个级别的破解难度。 BlueLotus_XSSReceiver:该源码是由清华大学蓝莲花战队的firesun编写,安装方便,功能强大。 2 DVWA靶场搭建过程 方法一:可以参考《Docker上搭建DVWA漏洞环境》。安装简单,但安装结果功能有所欠缺。 方法二:可以参考《WAMP环境+DVWA漏洞测试平台搭建过程》。
渗透之路 WEB漏洞【第七篇】XSS漏洞
dfu65065的博客
09-20 795
什么是 XSS XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。 从上面中的一段话,可以得知...
XSS简介及分类.docx
最新发布
08-18
xssXSS(Cross-Site Scripting)是一种常见的网站漏洞攻击方式,中文通常称为“跨站脚本攻击”。这种攻击利用的是网站对用户输入数据过滤不严格或者输出数据处理不当的缺陷。 在XSS攻击中,攻击者会将恶意脚本注入...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
zz12345600354的博客
04-23 1122
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS介绍
MichaelJY1991的专栏
04-08 1054
安全漏洞——沉睡的巨人XSS Cross-site scripting,跨站脚本攻击,简写XSS(因为首字母缩写与CSS样式表重复,故采用XSS)。 背景 Web程序安全问题依赖于很多机制,其中就包括“同源策略”。同源策略是指调用方与被调用方需是同一地址,否则浏览器会阻止其调用。 XSS脚本攻击主要集中在web系统、其所在服务器以及相关依赖系统。利用这其中的一个漏洞,攻击者可以把恶意内容从...
3.1XSS简介
wojiushilsy的博客
06-24 367
XSS简介第一种类型:反射型 XSS第二种类型:存储型 XSS第三种类型:DOM base XSS简介 跨站脚本攻击(Cross Site Script)本来缩写是CSS,但是为了与层叠样式表(Cascading Style Sheet)区分,所以在安全领域叫做 “XSS”。 XSS 攻击,通常指黑客通过 HTML 注入 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。在这种行为最初出现之时,所有的演示案例全是跨域行为,所以叫做 “跨站脚本” 。时至今日,随着Web 端功能的复.
XSS攻击简介
weixin_34315665的博客
07-02 116
2019独角兽企业重金招聘Python工程师标准>>> ...
xss的介绍以及概述
ranuy阮的博客
07-04 1251
**何为XSS ** 首先,xss(Cross Site Scripting)是为了不和css(Cascading Style Sheets)缩写混淆而缩写为xss,直接翻译过来就是跨站脚本。 跨站脚本攻击是常见的前端web攻击。攻击者通过在页面中插入精心构造的恶意JavaScript脚本。引诱用户去点击构造的js恶意代码。当受害者去点击这些恶意代码后,游览器会去解析执行恶意的js代码。从而导致窃取用户身份/钓鱼/传播恶意代码等危害。很常见的一个xss攻击就是弹窗。 XSS的分类 反射型 储存型 DOM型
XSS详解
热门推荐
金色%夕阳的博客
07-30 1万+
XSS详解 1. 简介 2. 跨站脚本实例 3. XSS 的危害 4. 分类 4.1 反射型XSS(非持久型) 漏洞成因 攻击流程 4.2 存储型XSS(持久型) 漏洞成因 攻击流程 4.3 DOM型XSS 漏洞成因 4.4 通用型XSS 漏洞成因
xss介绍
千寻的博客
01-02 1229
一.概述 XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻击行为。JS 可以非常灵活的操作html、css和浏览器,这使得XSS 攻击的“想象”空间特别大。 XSS 通过将精心...
XSS跨站脚本攻击
末初的CSDN博客
08-12 473
文章目录同源策略什么是XSS反射型XSS存储型XSSDOM型XSSXSS的防御 同源策略 当我们使用浏览器浏览多个网页的时候,浏览器怎样才能判断我们浏览的是同一网页? SOP(Same Origin Policy)同源策略,是一种约定也是浏览器最核心的基本安全功能。浏览器的同源策略,限制了来自不同源的文本或脚本对当前文本或脚本的读取或修改某些属性,同源策略主要检查源中的: Protocol Host Port 只有当两个不同起源的协议、主机、端口都相同时,浏览器才会认为这是同一个网站,即允
面试之-理解XSS、CSRF攻击原理与实践
WLANQY的博客
02-03 241
利用受害者在被攻击网站已经获取的注册凭证(cookie),一般网站都是直接根据cookie判断是否是合法登录,由于受害者的cookie已经被获取了,所以被攻击网站就会认为是合法用户。而CSRF攻击之所以能够成功,是因为服务器误把攻击者发送的请求当成了用户自己的请求。服务器通过校验请求是否携带正确的Token,来把正常的请求和攻击的请求区分开,也可以防范CSRF的攻击。前面讲到CSRF的另一个特征是,攻击者无法直接窃取到用户的信息(Cookie,Header,网站内容等),仅仅是冒用Cookie中的信息。
XSS攻击经典案例:一个HTML标签引发出微信重大的BUG
09-08 3166
作为一枚技术公众号运营者,写文章,发文章都是日常操作了,但在一次日常的发文中却意外地发现了微信公众号的重大BUG,这究竟是怎么回事呢? 在9月3日当天,鱼头我发了一篇名为《我的<input />不可能这么可爱》的技术文章,本来以为是常规发文,结果有人给我反馈,当点击留言进入公众号文章留言模块的时候,会有BUG: 我愣了1,2,3秒。。。心想:“咦,不对,这不是把 <inp...
详解XSS攻击:原理、危害与防护策略
1. XSS简介XSS攻击的核心是利用网站对用户输入的不恰当信任,攻击者会在用户的输入中嵌入恶意脚本,当这些数据被网站渲染并在用户浏览器中执行时,恶意脚本会对用户造成各种损害。例如,攻击者可以窃取用户的会话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值