初识xss(跨站脚本攻击)

已于 2023-08-07 17:09:23 修改
阅读量82 收藏
点赞数 1
文章标签: 网络安全 xss web web安全
于 2023-08-07 12:08:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_71924054/article/details/132143705
版权

ss首先xss属于OWASP(开放式web应用程序安全项目) top10(十项最严重的web应用程序安全风险列表)的一种

CSS (Cross Site Script(跨站脚本攻击))(因为怕与另一个css混淆,所以命名为xss),指的是攻击者在web页面里插入恶意html代码。

例子:

比如用写一个php文件:

用浏览器打开(注意这里要下载一个phpstudy)

然后以get方式传参

得到

 

但如果我传入的name不是1,而是一行代码

这里·的<script>alert(document.cookie)</script>

这里面的alert()是提示,换句话说就是弹出的提示文本。

document.cookie就是这个网站的cookie。

那么浏览器会执行我们的这一行代码,形成xss漏洞。

还有比如document.domain //弹出网站域名

xss的攻击流程(仅列举存储型xss):→打开web页面→输入一串恶意代码会存到数据库→读取页面→读取数据库→执行恶意代码。

举个例子::

在dvwa这个靶场中,有个留言版的模块

我们输入姓名和message,比如我们用xss平台

将下面这行代码复制到message中,点击提交

你的接受内容,包括操作系统,cookie,代码源文件,服务器内容,等等都会泄露,还有屏幕截图

网上有xssgame这个小游戏,可以帮助了解更多关于xss的内容。

hhhdaq
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss(跨站脚本攻击)详解
lonmar的博客
06-25 5415
xss跨站脚本攻击 读书心得,技术总结
跨站脚本(XSS)攻击
热门推荐
extremecold
08-12 1万+
什么是XSS 全称:Cross Site Script(跨站脚本) 为了与层叠样式表css区分,将跨站脚本简写为XSS 危害:盗取用户信息、钓鱼、制造蠕虫等。 概念:黑客通过“HTML注入”篡改网页,插入了恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。 XSS分类 存储型 反射型 DOM型...
初识XSS跨站脚本攻击
Goodric的博客
01-06 310
XSS (Cross Site Scripting, 跨站脚本攻击) 按照跨站脚本攻击的全名Cross Site Scripting,它的缩写或许该为CSS,但是 为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,跨站脚本攻击的缩写就变成了XSSXSS的理解: 攻击者会在web页面插入恶意的JavaScript代码,当用户访问此web页面时,攻击者所插入的script代码就会被执行,攻击者可能得到很高的权限(可以执行一些操作),从而达到某些目的。 xss攻击者可能达
XSS跨站脚本攻击及防护
weixin_62707591的博客
06-18 3137
XSS又叫CSS),即跨站脚本攻击,是最常见的 Web 应用程序安全漏洞之一。在绝大多数网络攻击中都是把XSS作为漏洞链中的第一环,通过XSS,黑客可以得到的最直接利益就是拿到用户浏览器的 cookie,从而变相盗取用户的账号密码,进而非授权的获取关键的隐私信息。XSS攻击是一种客户端访问嵌入有恶意脚本代码的Web页面,从而盗取信息、利用身份等的一种攻击行为。XSS属于客户端攻击受害者最终是用户。XSS的传播性极强,由于 web 的特点是轻量级灵活性高。
XSS跨站脚本攻击剖析与防御:初识XSS
qq_63806300的博客
02-11 768
攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端Javascript脚本)到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。
【推荐】最新超全的渗透测试学习基础教程集合(84份).zip
08-04
18.XSS跨站脚本攻击原理及代码攻防演示(一); 19.Powershell基础入门及常见用法(一); 20.Powershell基础入门及常见用法(二); …… 共84份,太多了就不一一列举了,喜欢的可以下载学习……
JavaWeb从入门到精通PPT.zip
06-19
11. **Web安全**:了解基本的安全概念,如XSS跨站脚本攻击)、CSRF(跨站请求伪造)、SQL注入等,以及如何防止这些攻击,是任何JavaWeb开发者必备的技能。 12. **项目实战**:通过实际项目练习,将理论知识应用于...
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
6.2.1 通用跨站脚本攻击 141 6.2.2 地址栏伪造 142 6.2.3 界面伪装 143 6.3 结合系统特性进行攻击 144 6.3.1 Android一例漏洞:使用Intent URL Scheme绕过Chrome SOP 144 6.3.2 iOS的一例漏洞:自动拨号泄露...
phpwind 论坛开发框架
07-02
包括 SQL 注入、XSS 跨站脚本攻击、CSRF 跨站请求伪造等常见的 Web 安全威胁,都需要开发者有所了解并采取相应防护措施。 7. **性能优化** 对于高并发访问的论坛,性能优化是关键。学会如何使用缓存机制、数据库...
Beginning JavaScript with DOM Scripting and Ajax
05-14
但Ajax允许跨域请求,书中的章节可能会讨论JSONP(JSON with Padding)和CORS(跨源资源共享)等解决跨域问题的方法,同时也会涉及XSS跨站脚本攻击)和CSRF(跨站请求伪造)等安全性问题。 五、现代JavaScript与...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8324
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
XSS平台的搭建
最新发布
weixin_42515203的博客
07-07 200
XSS平台的搭建
网络安全的神秘世界】SQL注入(下)
weixin_54750312的博客
07-04 1417
通过前面的SQL注入实验可以发现,字符型的注入点我们都是用单引号来判断的,但是当遇到 addslashes() 函数时,单引号会被转义,导致我们用来判断注入点的单引号失效。在将数据存入到了数据库中之后,开发者就认为数据是可信的。通过前面的学习可以了解到,SQL注入非常关键的一步就是让引号闭合和跳出引号,无法跳出引号,那么输入的内容就永远在引号里,即永远是字符串,无法实现SOL注入。出现了语法错误,意味着输入的内容会到数据库中进行查询,接下来的步骤就很简单了,跟前面的报错注入是一样的。
网络安全&密码学—python中的各种加密算法
xt350488的博客
07-02 1069
数据加密是一种保护数据安全的技术,通过将数据(明文)转换为不易被未经授权的人理解的形式(密文),以防止数据泄露、篡改或滥用。加密后的数据(密文)可以通过解密过程恢复成原始数据(明文)。数据加密的核心是密码学,它是研究密码系统或通信安全的一门学科,包括密码编码学和密码分析学。在网络安全和密码学领域,数据加密是保护数据机密性、完整性和可用性的关键技术。Python作为一种功能强大的编程语言,提供了多种实现数据加密和解密的方法。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 941
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
Java中的网络安全与防护策略
技术研究中心
07-04 451
通过本文的讨论,我们深入了解了Java中面临的网络安全挑战以及如何有效应对这些挑战的策略和方法。开发人员在设计和实现Java应用程序时,应始终牢记网络安全的重要性,并采取适当的防护措施,确保系统和数据的安全性。在Java中,可以使用正则表达式或者现成的验证框架,如Spring框架中的数据绑定和验证功能(例如Spring MVC的。在当今信息化时代,网络安全问题日益突出,尤其对于Java开发者来说,保障应用程序和数据的安全至关重要。同时,应用HTTPS协议确保数据在传输过程中的安全性。注解)来实现输入验证。
人工智能对网络安全有何影响?
网络研究观
07-05 1088
随着网络安全行业的不断发展,人工智能显然将成为防御和进攻策略的驱动力。
网络安全设备——探针
Nove1205的博客
07-04 991
网络安全中的探针是什么?
网络安全筑基篇——反序列化漏洞
weixin_55762309的博客
06-27 1013
反序列化漏洞原理详解
xss跨站脚本攻击kali
07-27
对于XSS跨站脚本攻击)和Kali Linux(一个流行的渗透测试工具)这两个话题,我可以分别给你一些简要的解释。 XSS跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在目标网站中注入恶意脚本,使得这些脚本在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值