跨站脚本攻击XSS(Cross Site Scripting)总结

最新推荐文章于 2024-04-19 10:24:14 发布
最新推荐文章于 2024-04-19 10:24:14 发布
阅读量991 收藏 1
点赞数 1
分类专栏: Web攻防 文章标签: 安全漏洞 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43968080/article/details/104114456
版权
XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。
摘要由CSDN通过智能技术生成

文章目录

1、何为XSS?

XSS(Cross Site Scripting)名为跨站脚本攻击,本应该称之为 CSS,但是由于 CSS 与网页前端的层叠式样表名称冲突,因此称之为 XSS。

XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。

XSS通常存在于论坛的评论处、发表文章处、网站留言处、网站检索处等。

以留言板为例,一般用户只是输入合法的留言文本,但是总有一些用户,当其输入这样的脚本语句:
<script>alert("Are You OK?")</script>
那么如果没有安全过滤,此时服务器就会解析该脚本语句并执行相应的操作。

这就是XSS。

2、Payload

常见的一些Payload如下:

1)利用autofocus的自动输入元素的特性进行测试,无需用户交互

<input onfocus = write(1) autofocus>

2)在img标签中没有写地址src,触发一个报错事件

<image src onerror = alert(1)>

3)利用svg标签在页面加载完后嵌入时间onload,短小精悍

<svg onload = alert(1)>

通常也可以写成:

<body/svg onload = alert(1)>
<
最低0.47元/天 解锁文章
KB-野原新之助
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss跨站脚本攻击与预防
11-04
XSS(Cross Site Scripting跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击者通过注入恶意代码,使受害...
XSS跨站脚本攻击课件
11-24
跨站脚本攻击(Cross-Site ScriptingXSS)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码到网页中,然后使用户在浏览器中执行这些恶意脚本,从而窃取用户的信息、会话令牌或者执行其他恶意操作。...
跨网站脚本(Cross-site scripting)介绍
后端开发
05-27 1554
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意
32个触发事件XSS语句的总结
weixin_33788244的博客
01-26 440
作者为monyer 1、onmouseenter:当鼠标进入选区执行代码 <div style="background-color:red" onmouseenter="alert('bem')">123456</div> 2、onmouseleave:当鼠标离开选区执行代码 <DIV style="BACKGROUND-COLO...
xss跨站脚本(cross-site scripting
最新发布
hakksjss的博客
04-19 1250
代码,提交至服务器(可不经过),前端和后端均未对用户的输入和输出进。恶意代码不经过服务器,无需和服务器交互,发生在客户端处理数据时。等自闭和标签无需闭合,结尾尖括号也可省略,属性后记得加空格。、存在过滤属性名、标签名的情况,如果过滤不严谨可尝试双写;危害:钓鱼欺骗、获取会话、会话劫持、网页蠕虫病毒等;恶意代码经过服务器且存储于服务器(文件,数据库)、某些属性被替换,可选择大小写绕过限制。、标签内增加空白符,不影响标签原有意义。、无尖括号,可选择用事件触发。时,可选用邮箱格式,用户名。型(也算反射型的一种)
XSS跨站脚本攻击(Cross-site scripting
qq_49841288的博客
07-24 890
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
XSS(Cross-site Script,跨站脚本)漏洞笔记
qq_32812063的博客
11-22 1555
xss笔记
跨站脚本攻击与防御
abc123098098的博客
11-21 169
网络上曾经有过关于跨站脚本攻击与防御的文章,但是随着攻击技术的进步,以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了,而且由于这种对于跨站脚本认识上的混乱,导致现在很多的程序包括现在的动网都存在着跨站脚本过滤不严的问题,希望本文能给写程序的与研究程序的带来一点思路。 还是首先看看跨站脚本漏洞的成因,所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入...
XSS跨站脚本攻击漏洞修复方法
06-18
XSS(Cross-Site Scripting跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将深入探讨XSS攻击的类型、危害,并...
XSS跨站脚本gj剖析与防御
05-18
XSS(Cross-Site Scripting跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息、操纵用户界面或进行其他有害操作。这种攻击通常发生在Web应用程序中,因为它们未能...
ThinkPHP2.x防范XSS跨站攻击的方法
10-23
XSS(Cross-Site Scripting跨站脚本攻击是一种常见的网络安全问题,它允许攻击者在用户浏览器上执行恶意脚本。在ThinkPHP2.x框架中,由于框架本身可能存在一些安全漏洞,使得XSS攻击成为可能。下面我们将深入探讨...
跨站语句大全
11-22
比较全的跨站语句攻略http://www.freebuf.com/articles/web/153055.html
【漏洞发现-xss跨站脚本攻击】事件绕过
m0_46344990的博客
05-31 543
xss跨站脚本攻击是黑客通过“html注入”篡改了网页,插入了js恶意脚本,前端渲染时进行恶意代码执行,从而控制用户浏览的一种攻击。经常出现在需要用户输入的地方,一旦对输入不进行处理,就会发生网页被篡改。分为三类反射型:经过后端,不经过数据库存储型:经过后端,经过数据库DOM型:不经过后端,是基于文档对象型的一种漏洞,dom-xss是通过url参数去控制触发的xss靶场第十关服务器采用了替换恶意关键字的方式防御,可以事件绕过。直接看源码,服务器接受了两个变量keyword和t_sort,又将t_sort变量
存储型xss
weixin_42576186的博客
12-26 362
存储型XSS(Cross-Site Scripting)是一种常见的Web安全漏洞,它指的是攻击者往Web应用程序中注入恶意代码,被存储在服务器端,当其他用户浏览这些页面时,嵌入的恶意代码就会被执行。 存储型XSS攻击通常发生在用户留言板、论坛和博客等功能中,攻击者可以在留言板中发布带有恶意代码的留言,当其他用户浏览留言板时就会受到攻击。存储型XSS攻击也可能发生在用户提交表单时,如果Web应用程...
xss--跨站脚本攻击
klcyl_0106的博客
05-14 2260
一、定义 攻击者在网页中嵌入恶意脚本代码(javascript),当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者目的。 二、原理 本质:可控变量,显示输出变量。代码在对数据进行显示出现的安全问题。——js代码 产生层面:前端。 函数类:输出型函数。 危害影响:受js代码影响。 浏览器内核版本:受对方浏览器版本限制,可能带有过滤。 三、危害 (1)窃取管理员帐号或cookie。入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息
XSS(Cross Site Scripting跨站脚本攻击
Eason_LYC安全白帽子的成长博客
05-13 2806
XSS最为全面的知识点梳理总结,并有公开靶场配合知识点练习。含金量十成十
跨站脚本攻击XXS(Cross Site Scripting)修复方案
weixin_34289744的博客
10-31 1041
今天突然发现,网站被主页莫名奇妙的出现了陌生的广告。 通过排查发现是跨站脚本攻击XXS(Cross Site Scripting)。以下为解决方案。 漏洞类型: Cross Site Scripting 漏洞描述:跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的...
Cross-Site Scripting: Persistent XSS 漏洞修复笔记
热门推荐
dazhong2012的专栏
03-14 1万+
最近,项目工程进行 代码安全扫描 的过程中产生了一个 XSS 相关的bug,在此记录解决办法,和大家分享。 一.问题描述 漏洞扫描过程中报下面缺陷信息,大致意思是说 由于页面在接收参数的过程中,没有进行参数的校验,可能存在 参数中存在可执行代码的漏洞。 Cross-Site Scripting: Persistent Critical Package: /WEB-INF/views/xx xx-w...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值