XSS攻击

最新推荐文章于 2024-01-03 14:41:01 发布
最新推荐文章于 2024-01-03 14:41:01 发布
阅读量5.1k 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40860137/article/details/105681799
版权

1. 攻击者,上传一片文章或者博客,这边文章中带有一段JS代码,这段代码内容很简单,读取本地Cookie,发送给某个url。

 

2. XX微博的服务器没有对用户上传的内容进行审查,就将内容存储起来。

 

3. 当正常用户访问XX微博的时候,服务器将有问题的文章推送给了这个正常用户。(因为服务器并没有检查哪篇文章有问题,所以它会认为这是一篇正常的文章,以正常的方式推送给用户。)

 

4. 当正常的用户点开这篇文章的时候,攻击者编写的脚本就会在正常的用户的电脑上执行。(因为攻击者的脚本就是在文章的内容中加入一段script代码,浏览器会将script标签中的内容当作js代码来看待,然后执行这段代码)

 

5. 这段带有攻击性的代码可以读取用户本地的cookie内容,并将内容发送给攻击者事先准备好的url。(因为正常用户在本地打开,所以不存在跨域的问题)

 

6. 攻击者收到了发送过来的cookie之后,就可以将cookie内容写入自己的浏览器里,然后就能登录这个正常用户的XX微博了。

 

(因为现在很多网站都做了免登录功能,这个功能主要是依赖于种在浏览器里的cookie,这个cookie中会带有用户的部分信息,当用户在每次进入网站的时候,由于这些cookie的存在,就可以免登录了。我们这个例子中,XSS攻击就是获取到了用户的Cookie,从而在我们的本地来将这份cookie写入到我们的浏览器里,就能登录这个正常用户的帐号了~)

 

摘抄至 渡一教育

涵信
关注
xss攻击
qq_46312220的博客
08-18 345
2.1 Xss(跨站脚本攻击) 2.1.1 原理 恶意web用户通过将恶意脚本代码植入到提供给其他用户使用的页面中来达到攻击的目的 2.1.2 攻击类型: 反射型:通过把恶意代码放入url中进行注入,后端解析url并将恶意的代码拼接到html中返回给浏览器,浏览器由于无法识别哪些是恶意代码就会解析执行。由于只有点击了这种带有恶意代码的url后攻击才能生效,所有攻击者往往诱导被攻击者点击攻击者指定的特色url。 存储型又称持久型:攻击者通过技术博客中的评论,留言,以及各种可能的方式将恶意代码提交到数据
五分钟带你了解XSS攻击
最新发布
ORANGE_3iING的博客
07-31 960
跨站脚本攻击(XSS) 是一种,它允许攻击者。此代码由用户执行,让攻击者并冒充用户。如果 Web 应用程序没有采用足够的,则这些攻击会成功。用户的浏览器无法检测到恶意脚本是不可信的,因此允许其访问任何 Cookie、会话令牌或其他特定于站点的敏感信息,或者让恶意脚本重写 HTML 内容。
一个简单XSS攻击示例及处理
麦芽面包 (源码:咖啡:红茶)
08-28 832
最近项目被第三方工具扫描出来有一个Http head xss cross scripting漏洞,为了修复这个,顺便研究了一下跨站脚本攻击的原理, 跨站脚本攻击基本上就是sql注入的html版, 核心内容就是把一段精心设计的脚本通过网页中的html漏洞由HTTP GET/POST传给服务器并执行. XSS主要有两种,一种是注入的链接需要骗人来点击,目的是劫持用户的cookie; 一种是该脚本已...
XSS 攻击
wuli1024的博客
01-03 1946
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
基于Antisamy项目实现防XSS攻击
热门推荐
gavinloo的专栏
11-06 1万+
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。 为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa
DoS攻击
后台开发
08-25 1万+
XSS攻击(Cross Site Scripting) 全称跨站脚本攻击 攻击者主要通过嵌入恶意脚本程序,当用户打开网页时,脚本程序便在客户端的浏览器中执行,以盗取客户端cookie,用户名密码,下载执行病毒木马程序等 <input type="text" name="nick" value=" "/><script>alert("你是煞笔")</script><!-" ">【value传值传入sricpt脚本】 防御手段: XSS之所以能...
XSS攻击与防御全面指南
总结来说,XSS攻击是一种严重威胁,需要网站开发者采取严格的防御措施,包括但不限于输入验证、输出编码、设置合适的浏览器安全策略。同时,用户也应提高警惕,避免点击来源不明的链接,以保护个人信息安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值