XSS攻击原理及防御、绕过

已于 2022-05-31 14:20:03 修改
阅读量493 收藏
点赞数
分类专栏: OWASF Top10 文章标签: web安全 安全 xss 信息安全
于 2022-05-31 14:19:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43455259/article/details/125064488
版权

XSS攻击

原理

跨站脚本攻击XSS(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,将跨站脚本攻击缩写为XSS。
原理为恶意攻击者在网页中构造恶意javascript脚本,用户浏览该页面时,嵌入网页里面的语句会被执行,从而达到恶意攻击的目的
反射型XSS攻击原理
存储型XSS原理

类型

反射型:
发出请求时,XSS脚本存在于在URL中,作为输入提交到服务器端,服务器解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码
存储型:
存储型XSS存放于服务器端,恶意用户提交的代码会存储在服务器端(数据库,内存等),常见于留言板,论坛等,用户请求目标页面时不用再提交。

防御

1、转义、过滤敏感字符
对于引号、尖括号、斜杠 或者其他敏感的javascript关键字进行转义(黑名单)。缺点是会存在一些意向不到的绕过方式
2、Httponly 设置cookie时,将其 属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,是目前保护用户 cookie信息最有效的一种方式

绕过

关键字大小写、嵌套、双写、换事件、html实体编码等
一些绕过方式

_ChangAn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文弄懂XSS攻击原理防御手段
甘蓝的专栏
11-29 3302
一文弄懂XSS攻击原理防御手段..
XSS原理防御措施
广工最菜的琛
12-22 528
XSS 欢迎关注驿外残香 | HC的博客 XSS概念 XSS又称CSS,全称Cross Site Script,跨站脚本攻击。 其原理是攻击者针对有XSS漏洞的网站构建或输入恶意的Script代码,当其它用户点击恶意链接或者浏览该网站时,这段Script代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 与CSRF攻击之间的区别是: CSRF攻击是通过...
XSS攻击原理防御措施
Jay的博客
09-07 1163
一、XSS攻击原理 XSS是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击的主要目的则是,想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这些信息就可以在任意能接进互联网的pc登陆该网站,并以其他人的生份登陆,做一些破坏。预防措施,防止下
XSS跨站脚本攻击之——XSS防御绕过
温柔小薛的博客
04-05 453
XSS防御绕过 大多数网站为了避免xss的攻击,对于攻击者的输入都采取了过滤的措施,导致攻击者通常不能正常插入恶意代码来达到攻击目的。但是仍存在一些漏洞可以利用,来绕过过滤措施。 绕过方法 xss绕过的方法有许多,主要取决于攻击者的思路和对前端技术的掌握,以下介绍几个简单的绕过方法。 (1)对前端的限制可以尝试进行抓包重发或者修改前端的HTML。 例如一些标签,反射型xss修改限制输入字数长...
xss防御绕过-小记1
a_147258369111的博客
01-16 164
XSS安全的应该都很熟悉。本次并不是说其原理,仅是分享下在测试过程中遇到的案例。本人小白一枚,所以案例大佬们看着可能非常简单,就当是记录下自己笔记吧,不喜勿喷哈。。 关于xss防御,基本上都是采用输入过滤,输出编码。最近做的一个项目中的某个模块中,进行了输入过滤,采用跳转的形式。比如遇到<>或alert,响应包就会302跳转到固定网址。遇到这种黑名单的可以尝试各种绕过。...
XSS攻击进阶篇.zip
09-27
**XSS(跨站脚本)攻击是一种常见的网络安全威胁,主要针对Web应用程序。...了解其原理防御措施是网络安全中的重要一环,对于开发者和安全研究人员来说,持续学习和掌握XSS攻击的进阶知识至关重要。**
第十二节 利用IE特性绕过XSS过滤-01
09-15
XSS 攻击和 IE 特性绕过 XSS 过滤 XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的 Web 应用安全漏洞。攻击者可以通过在目标网站中Inject恶意脚本,劫持用户会话,盗取敏感信息,甚至控制用户的浏览器...
网络安全原理与应用:反射型XSS攻击演示.pptx
05-16
通过这些演示,我们可以理解反射型XSS攻击的基本原理和常见防御手段的绕过策略。在实际应用中,开发者应当对用户输入进行严格的过滤、转义或编码,防止XSS攻击的发生。同时,用户也应警惕来自不明来源的链接和请求,...
xss基本原理分析
03-17
为了防止XSS攻击Web开发人员应采取以下防御措施: - 对用户输入进行严格的验证和过滤,避免特殊字符和脚本执行。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制浏览器可以加载的资源类型和来源,防止...
安全漏洞XSS攻击方法详解
01-26
因此,开发者需要保持警惕,不断更新防御策略,同时用户也应提高安全意识,避免点击来源不明的链接,以防止遭受XSS攻击。 总结来说,XSS攻击是一种严重的安全威胁,它利用Web应用程序的漏洞,通过注入恶意脚本,...
XSS防御绕过1
weixin_30235225的博客
03-29 192
原理:对用户输入没做过滤和处理,是用户可以输入一些东西(例如js),控制输出达到一些攻击目的 1.DOM型   基于DOM的XSS有时也称为type0XSS。当用户能够通过交互修改浏览器页面中的DOM(DocumentObjectModel)并显示在浏览器上时,就有可能产生这种漏洞,从效果上来说它也是反射型XSS。主要区别就是没有经过服务器后端处理   通过修改页面的DOM节点形成的XSS...
XSS注入绕过防护
LJH1999ZN的博客
02-17 1302
一、输入与输出的防护机制 字符实体化 关键字变形 关键字去除 尖括号去除 二、xss防护规则的绕过 1.大小写,双写绕过 为了避免XSS漏洞的存在,通常应用会对用户输入进行一定的安全处理后再输出的HTML中, 防护的方法有: 过滤:发现关键字返回错误 编码:对关键字进行编码 插入:插入改变关键字的符号 删除:删除关键字 绕过防护的思路: 判断关键字 判断防护规则 尝试不同的payload 大小写,双写 关键的符号有:' " ()<>{}=&--; 关键..
top10之XSS(详尽版)~原理、类型、绕过方法
m0_59856804的博客
12-12 795
XSS定义、原理、类型、应用、绕过方法
XSS原理、攻击方式、一些绕过姿势和防御方法
weixin_51519028的博客
09-16 2635
XSS原理、利用手法、绕过姿势、以及防御方法
XSS漏洞原理防御方式
GL的博客
03-07 4151
XSS漏洞 Cross Sitescript跨站脚本攻击,客户端脚本安全中的头号大敌 XSS攻击:(需要具备两个条件) 1、需要向WEB页面注入恶意代码 2、这些恶意代码能够被浏览器成功执行 XSS攻击类型: 1、反射攻击 用户输入的数据反射给浏览器,这个数据可能是Html代码或者Js代码,反射给浏览器去执行 2、存储型攻击 用户把输入的数据(比较恶意的JS代码)储存在服务器端,具有很强的稳定性,危害时间长 XSS危害: 1、 劫持Cookie,cookie一般保存了用户
XSS漏洞原理与防护措施
qq_50905066的博客
03-27 9353
xss漏洞,既跨站脚本攻击 xss分类: 大致可以分为储存型与反射型。 储存型:最直接的危害类型,跨站代码存储在服务器(数据库)。 反射型:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。 如图 图中所示位储存型xss攻击流程。攻击者要先搭建起恶意服务器。构建xss恶意脚本,通过留言,评论,注册等各种正常服务器可以上传的位置上传恶意脚本。 服务器会将恶意脚本保存在数据库中,当正常用户访问服务器并查看了该恶意脚本时,服务器会将xss的恶意脚本返回至用户浏览器。 这时用
XSS攻击原理防御措施
程序媛的梦工厂
03-31 2317
跨站脚本攻击:它值得是恶意攻击者往web页面里插入恶意的html代码,当用户浏览该页时,嵌入web页面的html就会被执行,从而达到恶意用户的特殊目的。 XSS攻击原理 1、黑客对含有漏洞的服务器发起XSS攻击; 2、诱使用户打开收到攻击的服务器URL; 3、用户在浏览器中打开URL,恶意代码执行。 XSS的类型 持久型:也叫“存储型XSS”,只要是将XSS代码发送到服务器,所以在下一次请求页...
WAF相关知识及安全狗的部署和绕过_安全狗waf拦截规则
最新发布
2401_83739660的博客
04-12 644
一:WAF基础知识(一)WAF简介WAF即Web应用程序防火墙通过过滤和监视Web应用程序与Internet之间的HTTP通信来帮助保护Web应用程序,Web Application Firewall (WEB 应用防护系统)。WAF与传统的 Firewall (防火墙) 不同,WAF 针对的是应用层。WAF可以用来屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。WAF针对的是应用层而非网络层的入侵,从技术角度应该称之为Web IPS。(二)WAF工作原理
东塔攻防世界—xss绕过安全
good good study
06-28 1173
东塔攻防世界—xss绕过安全
揭秘XSS攻击全攻略:原理、类型与防御策略
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的Web安全漏洞,它允许恶意用户将恶意代码注入到...这篇关于XSS攻击的详细指南深入浅出地探讨了各种攻击手法和防御策略,是了解和对抗现代Web安全威胁的重要资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值