XSS基础

最新推荐文章于 2022-10-16 16:21:22 发布
最新推荐文章于 2022-10-16 16:21:22 发布
阅读量289 收藏
点赞数
分类专栏: 渗透 文章标签: 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50785772/article/details/109297720
版权

**

XSS漏洞基础

**
xss漏洞介绍
跨站脚本(Cross-Site-Scripting,简称XSS或跨站脚本或者跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。 它允许恶 意用户将代码注入网页,其他用户在浏览网页时就会受到影响。恶意用户利用XSS代码攻击成功内容。后可能得到很高的权限(如执行一些操作)、私密网页内容、会话和cookle等各种内容。

XSS攻击可以分为三种:反射型、存储型和DOM型。

  • 反射性xss
    攻击方式:攻击者通过电子邮件等方式将包含xss代码的恶意链接发送给目标用户。当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。
  • 存储型xss
    存储型xss又称为持久型xss
    攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。
    攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久地被存放在服务器的后端存储器中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到执行。

4.4

Xss基础

4.4.1 XSS 漏洞介绍

尚站脚本ICr Sie Sepingn简称8XSS或跨姑脚本政路站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。 它允许恶 意用户将代码注入网页,其他用户在浏览网页时就会受到影响。恶意用户利用XSS代码攻击成功内容。后可能得到很高的权限(如执行”些操作)、私密网页内容、种XSS攻击可以分为三种:反射型、存储型和DOM型。

4.4.2 XSS漏洞原理

1.反射型XsS

反射型XSS又称非持久型XSS,这种攻击方式往往具有一一次性。

攻击方式:攻击者通过电子邮件等方式将包含XsS代码的恶意链接发送给目标用户。当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有XSS代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。

2.存储型XsS

存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。

攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久地被存放在服务器的后端存储器中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到执行。

例如,恶意攻击者在留言板中加入以下代码。

)

4.4

XSS基础

4.4.1 XSS漏洞介绍

尚站脚本ICR Sie Sepingn简称8XSS或跨姑脚本政路站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种.它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响.恶意用户利用xss代码攻击成功内容.后可能得到很高的权限(如执行“些操作)、私密网页内容、种xss攻击可以分为三种:反射型、存储型和DOM型.

4.4.2 XSS漏洞原理

1.反射型XSS
反射型xss又称非持久型xss,这种攻击方式往往具有一一次性。
攻击方式:攻击者通过电子邮件等方式将包含xss代码的恶意链接发送给目标用户.当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器解析这段带有xss代码的恶意脚本后,就会触发xss漏洞。
在这里插入图片描述
页面http://10.1.26.253:32769/control/xss/xss_1.php?id=1输入“54545#”提交时被输出传入到表单中
在这里插入图片描述
在浏览器渲染时,执行img src=x οnerrοr=alert(1),js函数alert导致浏览器弹窗1
在这里插入图片描述

在这里插入图片描述
2.存储型XSS
存储型xss又称持久型xss,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。
攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入帖子的内容中.随着帖子被服务器存储下来,恶意脚本也永久地被存放在服务器的后端存储器中.当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到执行。
例如,恶意攻击者在留言板中加入以下代码.

)

将标题输入到页面,执行之后导致弹窗img src=X οnerrοr=alert(/xss/),此时得xss属于持久型,任何人访问url都会弹出/xss/
在这里插入图片描述
在这里插入图片描述
3.DOM型xss
DOM全称Document Object Model,使用DOM可以使程序和脚本能够动态访问和更新文档的内容、结构及样式。
DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。
(时间关系,下回补更。。。)

啾啾啾七
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站脚本攻击原理、攻击过程及防御方法简介
seek_2022的博客
05-03 8632
文章目录一、XSS简介(一)什么是XSS?(二)XSS的危害(三)XSS的分类(四)XSS的特性(五)XSS攻击过程二、如何防御XSS攻击?三、本文小结 一、XSS简介 (一)什么是XSS? Cross-Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。 前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。 前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当
[8]xss你清楚吗
我们一起学前端
11-05 788
但是之前有个同事既然是这样处理的:前端直接将字符串进行了encodeURIComponent和decodeURIComponent处理,这就直接阻止了后端的转义,辜负了后端开发的一片好心。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页面的时候,嵌入Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。又称为持久型跨站点脚本,这个直接通过名字就能很好的理解(存储型),它一般发生在XSS攻击代码存储在网站数据库中,当一个页面被用户打开的时候执行。
跨站脚本攻击XSS(最全最细致的靶场实战)
热门推荐
m0_51468027的博客
01-31 3万+
一、XSS跨站漏洞 (1)XSS简介   网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌.
XSS跨站之原理分类及攻击手法
YkingH的博客
11-09 3611
web-xss跨站之原理分类及攻击手法 XSS简介 跨站脚本攻击(Cross Site Script),为和层叠样式表区分,安全领域叫做“XSS”。 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在浏览网页时控制用户浏览器的一种攻击。一开始攻击的演示示例是跨域的,而现在由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不重要。 XSS原理解析 攻击者通过向web页面中注入JavaScript代码(或者ActionScript、VBScript),来获取用户的
跨站脚本攻击XSS
qq_45557130的博客
10-16 1408
xss
XSS基础知识
AmyBaby00的博客
09-29 714
XSS原理 XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。 它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。 在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 XSS攻击的主要目的则是,想办法获取
安装xss-labs ppt手册
最新发布
10-22
1. **学习XSS基础知识**:在开始实际操作前,了解XSS的分类(反射型、存储型和DOM型)以及常见的攻击手段是非常重要的。理解XSS攻击的原理和危害,能够帮助你更好地应对挑战。 2. **准备Payload库**:XSS攻击往往...
Xss跨站脚本攻击基础
04-11
Xss跨站脚本攻击基础,非常好的学习文档!!!Xss跨站脚本攻击基础,非常好的学习文档!!!
xss平台搭建源码,xss漏洞练习
06-03
一、XSS基础概念 XSS分为反射型XSS、存储型XSS和DOM型XSS三种类型。反射型XSS是通过诱使用户点击含有恶意脚本的链接来触发;存储型XSS则是恶意脚本被存储在服务器端,然后在用户查看页面时执行;DOM型XSS则是在...
腾讯系列的XSS注入篇
09-05
腾讯系列的XSS注入篇,感觉还行吧。如果用着有什么问题私我
xss-labs-master.rar
05-09
一、XSS基础概念 XSS攻击的本质是利用网站的输入验证不严,将恶意代码嵌入到网页中,当其他用户访问该页面时,恶意脚本会在他们的浏览器中执行。根据脚本的执行环境,XSS被分为三种类型:反射型XSS、存储型XSS和DOM...
8. XSS 攻击
enlyhua的专栏
11-02 670
1.XSS 攻击和防范之存储<html> <body> <script> var cookie = document.cookie; window.location.href = 'index.php?cookie=' + cookie; </script> </body> </html> 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信
8. xss bypass
HWHXY的博客
01-17 280
layout: post title: 8. xss bypass category: SRC tags: SRC keywords: SRC,XSS 前言 该篇记录为记录实际的src过程第8篇小文章,内容为某网站的xssbypass。 XSS特征 这个点是一处app发布,可以插入a标签和img标签,但是a标签只能插入链接,否则会出错。条件很苛刻。 这时就想到了再找一个反射,把反射链接插进去,就相当于a+反射=点击存储。思路正确!开始找反射,好不容易找到一个,但是waf极强, on属性基本被消灭,遗留下来.
XSS跨站脚本攻击
weixin_30505225的博客
04-26 1040
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身...
Python全栈(五)Web安全攻防之8.XSS攻击(上)
CUFEECR的博客
03-13 5030
绕过SQL注入包括绕过去除注释符、绕过剔除and和or和绕过去除空格3种形式,各有自己的绕开方法。XSS是恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,script代码会被执行,达到恶意攻击用户的目的;cookie包含有关用户的信息;XSS分为反射型、存储型和DOM型3种;可以通过Python利用cookie会话劫持;XSS可以使用JS篡改网页链接,还可以额使用beef-xss实现;还可以通过克隆登录页面获取用户信息,如setoolkit工具。XSS攻击包括闭合标签和属性中实现等方式。
test.ctf8 xss注入解题记录
qq_43623492的博客
04-02 4313
Level 1 页面没有文本框,但可以从URL下手 payload:test.ctf8.com/level1.php?name=<script>alert('ok')</script> Level 2 随便输入点什么,查看页面源码,发现我们输入的内容被困在了input的value属性内,那就闭合他们 payload:"><script>alert('ok...
SwitchyOmega
qq_50785772的博客
10-29 1672
** SwitchyOmega ** 作用: Chrome 和 Firefox 浏览器上的代理扩展程序,可以轻松快捷的管理和切换多个代理设置。 安装版本说明: 在 Google Chrome 或基于 Chromium 的浏览器 Mozilla Firefox 或基于 Mozilla 的浏览器中安装 优点 可以使用 HTTP/Socks 代理访问网站;可以根据多种条件和规则自动切换;可以根据在线或本地的 PAC 脚本规则使用代理。 可以在线导入 AutoProxy 和 Switchy 格式的规则
渗透测试XSS基础知识
07-23
以下是关于 XSS基础知识: 1. XSS 的原理:XSS 攻击利用了网站对用户输入的信任,攻击者将恶意脚本注入到网页中,当用户浏览该网页时,恶意脚本会在用户的浏览器中执行,从而达到攻击的目的。 2. XSS 的分类:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值