(跨脚本攻击)xss简介及三种类型

最新推荐文章于 2024-04-23 16:00:04 发布
最新推荐文章于 2024-04-23 16:00:04 发布
阅读量3.4k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36760683/article/details/80388530
版权

1.简介

xss攻击,通常指黑客通过注入"HTML注入",来篡改网页,插入恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。

那么什么是xss呢?看看下面的例子~~


正常情况下,用户向test提交的数据会显示在页面中,例如:

http://127.0.0.1/study/test.php?test=This%20is%20a%20test;

http://


此时查看页面源代码如图:


但是如果提交一段html代码:test=<script>alert('hack')</script>,就会发现,代码被执行了。

再查看源代码:


用户输入的script脚本已经被写入页面中,而显然这不是开发者不想看到的。

上面这个例子就是xss的一种:反射型xss.

xss根据效果不同,分为3类:

1.反射型xss

反射型xss就是简单的把用户输入的数据“反射”给浏览器。黑客需要诱使用户”点击“一个恶意链接,才能攻击成功。反射型xss也叫做"非持久型"xss.

2.储存型xss

储存型xss会把用户输入的数据“储存”在服务器端。这种xss具有很强的稳定性。

下面举例说明:

用户输入的内容还是没有过滤,没有显示页面上,而是插入到了数据库中。

新建一个php,内容如下:

该代码是用来读取之前插入数据库的内容的,并将页面显示在浏览器上。

创建一个数据库名为xss,表名为temp:

然后访问页面:


点击页面却不会显示,而实际上数据已经存入了数据库,输入代码:<script>alert('hack')</script>,出现页面:

3.DOM Based XSS

实际上这种xss并非按照数据是否储存在浏览器兑换来划分,DOM Based Xss 按效果来说也算是反射型xss,这里把它单独划分出来,是因为DOM Based Xss 的形成原因比较独特。

看如下代码:

<script>
function test()
{
    var str=document.getElementById("test").value;
    document.getElementById("t").innerHTML="<a href='"+str+"'>testLink</a>";
 }
</script>
<div id="t"></div>
<input type="text" id="text" value="" />
<input type="button" id="s" value="write" οnclick="test()" />

在点击wirte按钮后,会在当前页面插入一个超链接,其地址为文本框的内容:

在这里,“write"按钮的onclick调用了test()函数,修改了页面DOM节点,然后通过innerHTML把一段数据当作HTML写入到页面中,就造成了DOM Based Xss.

可爱的柠檬鲨
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xss脚本攻击-运维安全详细笔记
06-30
xss脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss脚本攻击的知识点总结: 1.xss脚本攻击的定义 ...
XSS攻击
一种感觉的博客
07-14 578
XSS攻击1.XSS攻击原理2.如何防御? 1.XSS攻击原理 常见的 XSS 攻击三种:反射型XSS攻击、DOM-based 型XXS攻击以及存储型XSS攻击。 1).反射型XSS攻击反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进行钓鱼欺骗。 2).存储型XSS攻击:主要将XSS代码
关于xss三种类型详解
土拨鼠挖洞中的博客
04-12 1万+
一、简介什么是XSS?百度百科的解释: XSS又叫CSS  (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实...
XSS漏洞注入,分类,防御方法
cc567o的博客
04-23 942
❤️其实不是项目上的要求,实际中我们没必要专门花时间去只找XSS漏洞,因为如果找到了反射型XSS像补天或者是漏洞盒子等都是不收的,除非有只收XSS漏洞的!因为要实现漏洞得与管理员交互,而且危害性较小!像标签风格的有些游览器会拦截,即使你过了游览器这关,还有网站开发这关,一般会过滤测试XSS漏洞关键在善于看网站源码,通过网站源码给你的信息来进行测试,并且要善于找输出点,这些地方都是需要重点排查的。
XSS类型详解
a_helloworlds的博客
03-28 2586
(1)反射型(reflected xss): 基于反射性攻击,依靠服务端反回的脚本,在客户端执行,形成web攻击。 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返 回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。 例子: ...
XSS分类
weixin_43803070的博客
04-29 2563
一.XSS分类 1.持久型 1)反射型脚本也称为非持久型、参数型脚本。主要用于将恶意脚本附加到url地址的参数中。例如:http://www.qiqianmao.com/index.php?id="> 2)反射型xss会诱导用户去访问一个包含恶意代码的url,当用户访问这些连接的时候,恶意的js代码会直接在受害者的浏览器上执行,他的特点是只在用户单击时触发,而且只执行一次,非...
渗透测试-xss三种类型讲解
lza20001103的博客
08-07 4037
渗透测试-xss三种类型讲解
39-39.XSS脚本攻击类型介绍.mp4
最新发布
05-10
39-39.XSS脚本攻击类型介绍.mp4
xss脚本攻击与预防
11-04
XSS(Cross Site Scripting)脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击者通过注入恶意代码,使受害...
XSS脚本攻击漏洞修复方法
06-18
XSS(Cross-Site Scripting)脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将深入探讨XSS攻击类型、危害,并...
XSS脚本---类型介绍与展示
04-29
XSS脚本PPT--Web安全技术主要包括如下三大类: Web服务器安全技术 Web应用服务安全技术 Web浏览器安全技术
网络安全之从原理看懂XSS
Galaxy_0的博客
01-18 1457
网络安全之从原理看懂XSS
XSS脚本攻击(一)----XSS攻击三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
XSS简介、原理、攻击类别(反射、存储、DOM型)、防范方式及原则、攻击举例及防范举例、XSS练习题及答案、XSS深入)
AIWWY的博客
09-17 2025
目录 简介 原理 XSS攻击类别 反射型(非持久型站) 存储型(持久型站) DOM站(DOM XSS) 防御方式 防范XSS漏洞原则 XSS攻击举例及防范举例 XSS练习题 部分答案 XSS深入 简介脚本攻击(Cross Site Scripting)为区分css改名为XSS,具体指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、
xss脚本攻击的原理、类型、防范
m0_52556798的博客
03-27 995
很久没更新了,这几天都在弄开题报告,完成的还不错 不过这篇xss学习总结比较水,因为有些代码被过滤了,需要完整的学习总结私我就行 什么是xss? 恶意代码嵌入网页中,当客户网文网页的时候,网页中的脚本会自动执行,从而达成黑客攻击的目的。 有些什么类型xss呢? XSS分类:反射型xss、持久性xss、dom型xss 反射型 非持久化,一般需要欺骗客户去点击构造好的链接才能触发代码 持久型 可以长久的保存在网页中,每个浏览过此网页的用户都会中招, 很多xss蠕虫的爆发都是基于持久型xss,一般在留言板,评论
干货分享 |全面总结XSS
南迪叶先森
07-09 894
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 原理:用户输入的数据当做HTML代码拼接到程序代码中去执行.
XSS漏洞-01】XSS漏洞原理和危害及验证与分类
cc
02-10 7894
反射型XSS不与数据库进行交互,直接由前端进行反馈;存储型XSS会将恶意代码写进服务器的数据库中;反射型和存储型xss都先将数据发送到了服务器,再从服务器读取数据显示到页面中,burp能抓取到数据;DOM型XSS主要是在浏览器本地修改DOM树而执行,并不会经过服务器,所以burp抓取不到包。
脚本攻击(XSS)
前行的博客
08-15 775
概念 XSS攻击,通常指通过'HTML注入'篡改了网页,插入恶意脚本,大多数是javascript或者指向脚本的链接,在用户浏览网页的时候,控制用户浏览器的一种攻击。主要的攻击对象是当前用户的个人信息。 对于XSS攻击者来说,JavaScript工作在渲染后的浏览器环境中,无法控制用户浏览器发出的HTTP头。 XSS三种类型 反射型XSS特点是黑客需要诱使用户点击一个恶意链...
渗透测试技术----常见web漏洞--脚本攻击原理及防御
wwl012345的博客
08-16 3144
一、脚本攻击介绍 1.脚本攻击简介 脚本攻击(Cross-Site Scripting)简称为XSS(本来为CSS,但是与前端语言CSS容易产生歧义,故取名为XSS),XSS是一种针对于网站应用程序(Web客户端)的安全漏洞攻击技术,是代码注入的一种,它允许攻击者将恶意JS代码注入到网页,这样其他用户在访问网页时就会受到影响。攻击者利用XSS代码攻击成功后,可能得到一些高权限来执行一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值