XSS总结

最新推荐文章于 2022-08-03 13:00:02 发布
最新推荐文章于 2022-08-03 13:00:02 发布
阅读量501 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39654116/article/details/112757311
版权

目录

xss简介

跨站脚本攻击—XSS(Cross Site Script),是指攻击者通过在Web页面中写入恶意脚本,造成用户在浏览页面时,控制用户浏览器进行操作的攻击方式,该漏洞发生在用户端,在渲染过程中发生了不在预期过程中的JavaScript代码执行。假设,在一个服务端上,有一处功能使用了这段代码,他的功能是将用户输入的内容输出到页面上,很常见的一个功能。但是假如这里输入的内容是一段经过构造的js。那么在用户再次访问这个页面时,就会获取使用js在用户的浏览器端执行一个弹窗操作。通过构造其他相应的代码,XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为

XSS漏洞分类

XSS漏洞攻击过程

XSS漏洞危害

存在XSS漏洞时,可能会导致以下几种情况:

  1. 用户的Cookie被获取,其中可能存在Session ID等敏感信息。若服务器端没有做相应防护,攻击者可用对应Cookie登陆服务器。

  2. 攻击者能够在一定限度内记录用户的键盘输入。

  3. XSS蠕虫。

  4. 网页挂马;

  5. 在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDOS攻击的效果。

  6. 获取客户端信息,如用户的浏览历史、真实ip、开放端口等;

  7. 控制受害者机器向其他网站发起攻击;

  8. 利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。(不会这个操作,自己没有见过)

  9. 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的操作如发微博、加好友、发私信等操作。

  10. 利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。

  11. 攻击者通过CSRF等方式以用户身份执行危险操作。

XSS漏洞的挖掘

XSS利用方式

XSS过滤绕过

XSS防御方式

XSS工具

手工挖掘工具

  • [[Firebug]]
  • [[Hackbar]]

自动化工具

  • [[BruteXSS-master]]
  • [[OWASP Xenotix xss Exploit Framework]]
Rocky_x
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS简述
qq_62098017的博客
09-20 2155
绕过推荐 XSS绕过可以看看该文章:XSS过滤绕过速查表 0.介绍 跨站攻击,即Cross Site Script Execution(通常简写为XSS),是前端的漏洞,产生在浏览器一端的漏洞。它是指攻击者在网页中嵌入客户端脚本,主要利用js编写的恶意代码来执行一些想要的功能,也就是说它能干嘛是受到js的控制,那么js能执行出什么脚本代码就取决于它能干嘛。当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。 0.1.能干嘛 常规用到的是盗取cookie、js做钓鱼攻击、流
XSS学习总结
安全学习之路
03-25 1567
XSS使用总结 XSS使用总结 传统的script类 on事件类 点击类 其他传统的script类<script>alert(“xss”)</script> <script>alert(/xss/)</script>//双引号换成斜杠 <script>alert(‘xss’)</script>//用单引号 <script>alert(“xss”);</script>//用分号 <script
绕过XSS过滤规则 : Web渗透测试高级XSS教程
xysoul的专栏
04-17 1832
相信大家在做渗透测试的时候都有过这样的经历,明明一个XSS的漏洞,但是却有XSS过滤规则或者WAF保护导致我们不能成功利用,比如我们输入alert("hi"),会被转换为alert(>xss detected,这样的话我们的XSS就不生效了,下面就教大家几种简单的绕过XSS的方法: 1、绕过 magic_quotes_gpc magic_quotes_gpc=ON是php中的安
xss.me自动攻击跨站搭建教材
05-01
搭建网站环境,我这里用的是APMServ 5.2.6。注意APMServ程序所在路径不能含有汉字和空格。
XSS知识总结
qq_43842093的博客
11-07 6784
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
XSS攻击
李金华的博客
03-22 229
Xss攻击1.跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。简单实例: 当我们在表单 输入框中输入js 代码&lt;script...
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
【网络安全自学篇】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结 本文主要介绍了网络安全领域中常见的几种攻击手段,包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击,并通过WHUCTF比赛中的...
XSS跨站总结
02-09
一篇文档,让你理解XSS跨站攻防的来龙去脉
xss平台源码
09-28
总结来说,"xss平台源码"是一个宝贵的教育资源和研究工具,它可以帮助我们理解和防御XSS攻击,提升Web安全水平。无论是对安全从业人员还是开发者来说,深入学习和研究这一平台,都将对职业生涯产生积极的影响。
xss-vuln学习通关总结
08-24
XSS漏洞详解】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,主要表现为黑客通过注入恶意脚本到网页中,从而在用户浏览网页时控制用户的浏览器。这种攻击最初因为涉及跨域而得名,但随着JavaScript的...
32个触发事件XSS语句的总结
04-01
32个触发事件XSS语句的总结,新人学习xss必看!
XSS相关知识点
weixin_50931715的博客
08-03 1173
它是基于DoM文档对象模型的一种漏洞,并且DOM型XSS是基于JS上的,并不需要与服务器进行交互。不同于反射型XSS和存储型XSS,基于DOM的XSS跨站脚本攻击往往需要针对具体的 Javascript DOM代码进行分析,并根据实际情况进行XSS跨站脚本攻击的利用。形成XSS漏洞的主要原因是程序对输入和输出的控制过滤不够完善、严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。在危害性上:存储型XSS > DOM-XSS > 反射型XSS。二、XSS产生的原因。...
OWASP-XSS预防规则
Artisan_w
11-03 840
XSS跨站点预防规则 不要简单地对各种规则中提供的示例字符列表进行编码/转义。仅编码/转义该列表是不够的。阻止列表方法非常脆弱。此处的允许列表规则经过精心设计,即使将来因浏览器更改而引入的漏洞也能提供保护。 规则 0 除了在允许的位置,永远不要插入不受信任的数据 第一条规则是拒绝所有- 不要将不受信任的数据放入您的 HTML 文档,除非它位于规则 #1 到规则 #5 中定义的插槽之一内。规则 #0 的原因是 HTML 中有太多奇怪的上下文,以至于编码规则列表变得非常复杂。我们想不出有什么好的理由将不受信任
XSS(简介、原理、攻击类别(反射、存储、DOM型)、防范方式及原则、攻击举例及防范举例、XSS练习题及答案、XSS深入)
AIWWY的博客
09-17 2060
目录 简介 原理 XSS攻击类别 反射型(非持久型跨站) 存储型(持久型跨站) DOM跨站(DOM XSS) 防御方式 防范XSS漏洞原则 XSS攻击举例及防范举例 XSS练习题 部分答案 XSS深入 简介 叫跨站脚本攻击(Cross Site Scripting)为区分css改名为XSS,具体指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、
整理关于web项目如何防止CSRF和XSS攻击的方法
lxw1844912514的博客
12-19 1054
1 了解CSRF的定义 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻...
这一次,彻底理解XSS攻击
Tz
12-31 2万+
希望读完本文大家彻底理解XSS攻击,如果读完本文还不清楚,我请你吃饭慢慢告诉你~ 话不多说,我们进入正题。 一、简述 跨站脚本(Cross-site scripting,简称为:CSS, 但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,跨站脚本攻击缩写为XSS)是一种网站应用程序的安全漏洞攻击。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScrip
关于XSS 攻击的解决办法!
meuhin_kop的专栏
09-19 327
快到国庆了而且今年又是60周年,各个政府网站也都开始对网站的安全、漏洞进行大规模的扫描,很不幸我们公司开发的一个政府网站被扫描出来存在SQL注入、XSS、CSRF等漏洞!网站是几年前采用PHP开发的,由于开发人员本身的安全意识不足,代码编写上不严谨,滥用$_REQUEST类变量等导致网站存在了很多的安全隐患。最近一直都在研究XSS攻击如何防范,由于研究的时间不长简单的总结了下防御办法。 如下表单...
陕西应用物理化学研究所考研6个学院,54个专业课历年考试真题及答案汇总整理,备考资料题库视频.pdf
最新发布
07-15
陕西应用物理化学研究所考研6个学院,54个专业课历年考试真题及答案汇总整理,备考资料题库视频.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值