安全性测试之XSS攻击

最新推荐文章于 2024-06-27 10:19:07 发布
最新推荐文章于 2024-06-27 10:19:07 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32501663/article/details/90203088
版权

安全性测试之XSS攻击

名称攻击方式对应策略危害

反射型 XSS

(非持久型)

将XSS代码放在URL中,将参数提交到服务器。服务器解析后响应,在响应结果中存在XSS代码,最终通过浏览器解析执行。

1、数据不直接存入服务器,进行数据处理(加密、解密)

2、对重要的cookie设置httpOnly, 防止客户端通过document.cookie读取cookie

3、DOM XSS的发生主要是在JS中使用eval造成的,所以应当避免使用eval语句

1、盗取用户cookie值

2、使用js或css破坏页面正常的结构与样式

3、侵占服务器资源

4、流量劫持

5、利用可被攻击的域受到其他域信任的特点,

做不合法的操作

存储型 XSS

(持久型)

将XSS代码存储到服务端(数据库、内存、文件系统等),接口请求时直接从服务器读取

DOM XSS不需要服务器端的解析响应的直接参与,直接通过浏览器端的DOM解析

模拟攻击demo:

1、反射型XSS:在url中写入:value= <script>alert('xss!');</script>,并在浏览器中查看修改是否生效

有弹框弹出则是攻击成功

 

2、存储型CSS:向数据库中写入:<script>alert(1)</script>,并通过接口获取:

有弹框弹出则是攻击成功,无弹框则攻击失败,当前结果:攻击失败~~~

3、SQL语句恶意填入:  userName ='test' OR '1'='1' 与`password` ='test' or '1' = '1'

例子:SELECT * from user WHERE userName ='test' OR '1'='1' and `password` ='test' or '1' = '1'

实际上运行的SQL命令会变成下面这样的:SELECT * from user;

后果:绕过了login.asp用户身份认证的正常逻辑,获得访问

 

格格blue的璐
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全性测试XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。...作为测试人员,需要了解XSS的原理,攻击场景,如何修复。才能有效的防止XSS的发生。假如有下面一个textbox<inputtype=
Web安全测试XSS实例讲解
09-01
总之,XSS攻击是Web应用程序安全的重要关注点,理解和防范XSS攻击对于保障用户数据安全至关重要。测试人员和开发者都应熟悉XSS的基本概念、攻击手法以及防御措施,以确保应用程序的稳健性和用户数据的安全。
有趣的漏洞原理——XSS注入
LizePing_的博客
08-30 483
有趣的漏洞原理——XSS注入环境介绍进入正题搞定它危害如何预防转义动态内容白名单值仅限 HTTP 的 Cookie 环境介绍 跨站脚本(XSS) 是黑客用来攻击网站的最常见方法之一。XSS 漏洞允许恶意用户在其他用户访问您的站点时执行任意的 JavaScript 块。 1、假如你有一个爱分享生活的网页,别人输入的评论也会存在后端,以方便展示给其他人观看 进入正题 2、如果没有对用户输入做限制的话,那。。。就有点危险了,正常会试用跨站脚本窃取cookie,从而允许会话劫持 alert 弹窗显示
XSS原理与解析
qq_45300786的博客
08-18 397
简单来说就是用cookie来登录。 证明存在XSS,一般打弹窗()或者直接窃取cookie(标签触发,不用点击) 第二种方法就是通过伪协议来证明XSS,http:// ftp://(伪协议触发,需要点击,有点类似于链接,需要点击才会跳转,所以才会触发) ...
【网络安全渗透测试入门】之XSS漏洞检测、利用和防御机制XSS游戏(非常详细)零基础入门到精通,收藏这一篇就够了5
最新发布
Libra1313的博客
06-27 972
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段XSS第5篇。本阶段主要讲解XSS漏洞检测、利用和防御机制。
XSS(跨站脚本攻击)详解
jkzyx123的博客
07-12 9535
XSS是一种常见的安全漏洞,它允许攻击者在受害者浏览器上执行恶意脚本。攻击者通过在网页中注入恶意代码,使得用户浏览该页面时,恶意代码会被执行。
JS写到这种程度,XSS攻击成功了也不冤了。
诗剑书生的专栏
04-27 1888
2011年的BlackHat DC 2011大会上Ryan Barnett先生的杰作。($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__[_+~$]+$_[_]
安全测试xss攻击通用测试用例
测试开发
04-12 771
安全测试,测xss攻击,一个通用case测出一类问题。测试开发同学可以关注一下
简单模拟XSS攻击原理——成功验证
qq_39123467的博客
10-16 825
简单模拟csrf攻击原理——成功验证
xss 安全测试
07-19 287
测试用例:还是挺管用的,真的能发现潜在的bug     &lt;script&gt;alert(document.cookie)&lt;/script&gt;  ='&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt;  &lt;script&gt;alert(document.cookie)&lt;/script&gt;  &lt;sc
安全测试:常见XSS攻击方式
热门推荐
weixin_43431593的博客
04-04 1万+
安全测试 安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程 。 (百度百科简介) 常见XSS攻击方式 1、往页面表单提交恶意的js脚本代码 <form name="myForm" action="demo_form.php" onsubmit="return validateForm()" method="p...
web安全之XSS攻击及防御pdf
08-25
### Web安全之XSS攻击及防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
前端安全系列:如何防止XSS攻击
01-27
同时,持续关注最新的安全实践和技术,如HTTP的Same-Site Cookies特性,可以进一步提升应用的安全性。 总结来说,XSS攻击是一种严重威胁前端安全的问题,需要开发者结合后端和前端的防护手段进行防御。理解XSS攻击...
软件安全性测试(完整版)
05-30
首先,软件安全性测试的目标是发现并修复可能存在的安全漏洞,包括但不限于权限滥用、数据泄露、注入攻击(如SQL注入)、跨站脚本(XSS)等。它旨在通过模拟攻击者的视角,找出软件中的弱点,防止恶意行为的发生。 ...
xss攻击解析
落枫秋歌
09-17 858
XSS攻击(Cross site Scripting),跨站脚本攻击,通过插入恶意脚本并在用户浏览页面时主动或者被动触发的一种攻击方式;XSS一般分为反射型和存储型;反射型反射型XSS攻击是为形象描述它的路径而产生的名称,指的是恶意脚本以查询字符串的形式在用户发出请求时的URL中,提交给服务器后服务器会进行相应的解析,然后将带有XSS代码的响应返回给浏览器,浏览器会解析响应中的XSS并执行;这个过程
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8310
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)
qq_51577576的博客
11-28 5706
上篇文章简单从应急响应是安全岗位的必问知识点引入,从客户描述中寻找可利用信息帮助处理异常事件。重点介绍了什么是应急响应,应急响应基本流程。本篇文章将写道真实工作环境中我们我们的分析方法及具体采用的一些分析技术、工具等内容。 四、工作中分析流程(重点): 1. 日志分析 2. 后门分析 3. 流量分析 4. 脚本软件分析 5. 模拟渗透分析 ...
前端安全(一)XSS攻击原理及防范
qq_34416331的博客
12-18 2418
前端是直面用户的窗口,其安全性却是最容易被忽略的一环。本文将介绍: 一、什么是XSS攻击 1.1 定义 1.2 XSS攻击的危害 二、 XSS攻击类型 2.1 反射型攻击 2.2 存储型攻击 2.3 DOM型攻击 2.4 三种攻击类型的区别 三、 如何防范XSS攻击 3.1 设置Cookie HttpOnly 为 true 3.2 纯前端渲染 3.3 使用合适的转义库...
漏洞复现篇——XSS三种攻击方式讲解
爱国小白帽
02-20 4904
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场 模拟实验: DOM: 1、把级别调成low,选择DOM点击Select 2、将url中的English换成<script>alert(/xxx/)</script>,出现弹窗 Reflected 1、在框中输入<script>alert(/xxx/)</script>,点击Subm...
网站安全:跨站攻击与XSS防护策略解析
网站安全原理性综合测试...网站安全原理性综合测试不仅关注基础的身份验证机制,还强调了对XSS攻击的理解和防护措施的重要性。测试者需要深入理解这些原理,并能够通过实际操作和实例分析来检测和抵御此类安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值