网络安全渗透之XSS【概要总结】

已于 2023-03-11 13:49:49 修改
阅读量356 收藏
点赞数
分类专栏: 网安渗透技术 文章标签: web安全 xss 网络安全
于 2023-03-07 05:14:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43095240/article/details/129374142
版权

XSS

一、基本概念

Cross Site Script:跨站脚本
本应该缩写为CSS,但是由于与CSS重名,所以更名为XSS。

二、原理

提交的恶意构造参数未被有效过滤,在前端被当成脚本文件执行。

三、危害

钓鱼欺骗、网站挂马、身份盗用、盗取网站用户信息、垃圾信息发送、劫持用户Web行为、XSS蠕虫。

四、分类

1、反射型
2、存储型
举例:
评论框中输入script 代码, 一段未经转义过的 JS 代码被插入到页面之后,其他用户浏览的时候也会去执行它。如果是黑客它插入一段JS代码,把用户cookie的值发送到指定的服务器上,这样他就能拿到用户的cookie值。
3、DOM型
W3C 文档对象模型 (DOM) 是中立于平台和语言的接口,它允许程序和脚本动态地访问和更新文档的内容、结构和样式。

五、利用

1、工具
Beef、XSStrike

六、防御

1、http only
2、waf

hlsilent
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
xss简单渗透测试
peilizeng的专栏
04-13 384
<br />xss简单渗透测试<br />  Author: jianxin [80sec] EMail: jianxin#80sec.com Site: <br />http://www.80sec.com Date: 2008-12-24<br />From: http://www.80sec.com/release/xss-how-to-root.txt<br /> [ 目录 ]<br /> 0×00 前言 <br />0×01 xss渗透测试基本思路 <br />0×02 一次黑盒的
【实战纪实】XSS漏洞+后台弱口令+敏感信息泄露
zkaqlaoniao的博客
11-06 1892
前段时间看过一篇关于ZLMediakit漏洞的文章,就想着去试一下,结果真找到一个目标站点。详情往下看。
XSS漏洞注入,分类,防御方法
最新发布
dzqxwzoe的博客
05-01 319
XSS全称(Cross SiteScripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
XSS漏洞(xss_and_mysql_file靶场实战)——渗透day10
qq_62716256的博客
09-07 1998
XSS漏洞(xss_and_mysql_file靶场实战)——day10
渗透学习-XSS-基础知识部分(持续更新中)
qq_43696276的博客
09-18 546
跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌。OWASP TOP 10威胁多次吧XSS列在榜首。本文将接下来具体的探讨XSS攻击的原理,以及如何正确的防御它。提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
XSS简单总结
Aiwin的博客
07-11 996
XSS的简单总结
网络安全、web安全、渗透测试之笔试总结(二)
10-14
网络安全、Web 安全、渗透测试之笔试总结(二) 在这篇文章中,我们将对网络安全、Web 安全和渗透测试进行总结,涵盖对称加密、非对称加密、同源策略、Cookie 存储、XSS 攻击、TCP 和 UDP 的区别、SYN 攻击、证书...
Web安全性测试之XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的...
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
WEB渗透学习-XSS-labs靶场
04-20
XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个专门针对XSS的学习平台,为网络安全从业者和新手提供了...
网络安全攻击方式XSS初探.pdf
09-20
网络安全攻击方式XSS初探.pdf
一、XSS渗透与防御
黑日里不灭的light
03-30 343
一.XSS威胁方式 1.反射型XSS 解释:可在前端经过服务器注入XSS恶意代码,但不会对服务器存储内容做任何修改;有时经过服务器是由get发送请求,继而可以通过编辑恶意链接发送给被害者造成较大危害。 2.存储型XSS 解释:用户在前台输入恶意XSS代码,被存储在服务器里面,造成影响危害较大 3.DOM型XSS 解释:用户在前台输入恶意javascript代码操作页面;有时经过服务器是由get发送请求,继而可以通过编辑恶意链接发送给被害者造成较大危害。 二.XSS过滤 1.伪协议绕过 格式: <im
XSS渗透测试
m0_51426816的博客
02-25 758
渗透测试基本原理:依据渗透策略生成攻击向量,提交给Web服务器,然后根据Web服务器返回的网页来判断相应的检测点是否存在XSS漏洞 一.渗透策略 渗透策略规定了向Web服务器提交的内容,并根据Web服务器的返回信息来决定下一步的提交方案 流程: 二.合法字符串测试 Web服务器对检测点所提交的内容做不同的处理,并返回不同的网页,根据对返回网页的分析,排除掉不可能存在XSS漏洞的检测点,从而提高检测效率 三.攻击向量测试 模拟浏览器提交表单的过程向检测点注入攻击向量。根据action、method、type
渗透测试-xss钓鱼测试和xss盲打
lza20001103的博客
04-24 2343
渗透测试-xss钓鱼测试和xss盲打
XSS漏洞渗透与防御
m0_61506558的博客
07-27 428
恶意攻击者利用web页面的漏洞,插入一些恶意代码,当用户访问页面的时候,代码就会执行,这个时候就达到了攻击的目的。除了JavaScript之外,这个脚本也可以是Java、VBScript、ActiveX、Flash等等。
XSS详解
热门推荐
m0_52051132的博客
03-28 2万+
XSS–伪装管理员登录后台 文章目录XSS--伪装管理员登录后台一.XSS注入原理二.XSS危害二.XSS分类三.Cookie是什么四.XSS获取cookie 一.XSS注入原理 XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是一种在 web 应用中的计算 机安全漏洞,它允许恶意 web 用户将代码植入到 web 网站里面,供给其它用户 访问,当用户访问到有恶意代码的网页就会产生 xss
【白帽子学习笔记】XSS和SQL注入
python_LC_nohtyp的博客
11-17 1548
【白帽子学习笔记】XSS和SQL注入 yysy姚总布置的实验报告越来越难写了,菜菜的我要写好久,┭┮﹏┭┮ 文章目录【白帽子学习笔记】XSS和SQL注入0x01 实验知识点1x01 什么是XSS?1x02 什么是Cookie?1x03 XSS漏洞的分类1x04 SQL注入攻击0x02 XSS部分:Beef1x01 搭建GuestBook网站1x02 AWVS扫描1x03 Kail中使用Beef生成恶意代码1x04 XSS注入漏洞2x01 XSS劫持网站2x02 劫持浏览器指定被劫持网站为学校主
【转】XSS跨站脚本攻击原理及防护方法
wanggp
11-07 394
摘要 XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。 原理 XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、&lt;IMG&gt;、&lt;IFRAME&...
网络安全入门:破解边界基础与高级渗透测试
Joao Antonio撰写的一本关于网络安全渗透测试的书籍,旨在帮助读者理解和识别系统中的漏洞,纠正不正确的配置,并通过案例研究深入理解某些常见漏洞。这本书基于Offensive Security的CTP课程,不仅适合安全领域的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hlsilent

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值