OWASP学习之XSS攻击

最新推荐文章于 2023-12-11 15:02:38 发布
最新推荐文章于 2023-12-11 15:02:38 发布
阅读量384 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s11show_163/article/details/104297128
版权

标题XSS攻击分为三类:

  • 反射型:不具有持久性,浏览器发送数据给服务器通过PHP代码处理返回给浏览器。
  • 存储型:威胁最大,浏览器发送payload给服务器处理后给数据库。
  • DOM型:不需要服务器端内容,前端代码出问题导致前端DOM树被修改。

2.存储型

写一个php代码如下(重点注意php连接数据库的操作):

phpstudy运行这个页面加入数据库后查询id=1即可运行该script,可通过phpstudy的mysql管理器查看是否存入数据库中phpstudy运行这个页面加入数据库后查询id=1即可运行该script,可通过phpstudy的mysql管理器查看是否存入数据库中。
在这里插入图片描述phpstudy的数据库浏览界面如上。

3.DOM型

如下图控制台所示在DOM的php的脚本里加上document.url的截取参数语句:
在这里插入图片描述得到脚本如下:

最低0.47元/天 解锁文章
s11show_163
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web应用程序中XSS攻击的检测:一种机器学习方法-研究论文
05-20
随着互联网使用的增加,Web应用程序和网站变得越来越普遍。 随着使用的增加,对Web... 本文旨在使用机器学习来使用各种ML(机器学习)算法来检测XSS攻击,并比较算法在检测Web应用程序和网站中的XSS攻击方面的性能。
OWASP TOP10漏洞——XSS入门级理解,小白也能一看就会
最新发布
weixin_46108049的博客
01-16 1584
记录学习记录成长XSS(Cross Site Scripting)即跨站脚本如果直接拿文字看定义相必是难以理解。
OWASP Web 安全测试指南 WSTG
seanyang_的博客
12-11 384
在 Web 应用程序的开发生命周期中,许多事情都需要测试,但测试实际上意味着什么?测试(名词):旨在确定某物的质量、性能或可靠性的程序,尤其是在它被广泛使用之前。就本文档而言,测试是将系统或应用程序的状态与一组标准进行比较的过程。在安全行业,人们经常根据一套既不明确也不完整的心理标准进行测试。因此,许多局外人将安全测试视为一门黑色艺术。本文档的目的是改变这种看法,并使没有深入安全知识的人更容易在测试中有所作为。
xssowasp
qq_1062290728的博客
03-19 549
原文 Cross Site Scripting (XSS) 跨站脚本攻击 概述 xss是注入攻击的一种,它将恶意脚本注入到可信任的网站中。xss攻击攻击者使用web应用发送恶意代码时(通常以浏览器脚本的形式)给其他用户时发生。产生此漏洞的地方非常多,且web应用在其未经验证的输出中使用来自用户的输入时的任何地方均会发生。 攻击者可以使用xss发送恶意脚本给用户。客户端的浏览器没办法知道此脚本不受信任,并将执行此脚本。因为它认为此脚本来自来可信的资源,恶意脚本能够访问任何cookies、会话令牌或其他有关浏
OWASPXSS
weixin_64158899的博客
10-11 42
DVWA靶场练习
OWASP-XSS预防规则
Artisan_w
11-03 821
XSS跨站点预防规则 不要简单地对各种规则中提供的示例字符列表进行编码/转义。仅编码/转义该列表是不够的。阻止列表方法非常脆弱。此处的允许列表规则经过精心设计,即使将来因浏览器更改而引入的漏洞也能提供保护。 规则 0 除了在允许的位置,永远不要插入不受信任的数据 第一条规则是拒绝所有- 不要将不受信任的数据放入您的 HTML 文档,除非它位于规则 #1 到规则 #5 中定义的插槽之一内。规则 #0 的原因是 HTML 中有太多奇怪的上下文,以至于编码规则列表变得非常复杂。我们想不出有什么好的理由将不受信任
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
xss跨站攻击
09-25
XSS攻击的危害包括 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力 3、盗窃企业重要的具有商业价值的资料 4、非法转账 5、...
bluemonday:bluemonday:一种快速的golang HTML清理程序(受OWASP Java HTML Sanitizer的启发)来清理用户生成的XSS内容
02-04
忧愁星期一 ... 它是快速且高度可配置的。 ... 如果您接受用户生成的内容,并且服务器使用Go,则需要bluemonday。 用户生成的内容的默认策略( bluemonday.UGCPolicy().Sanitize() )变为: ...'XSS')" );} <
OWASP 之跨站脚本xss基础技能
wutiangui的博客
06-12 1361
简单来说DOM文档就是一份XML文档,当有了DOM标准之后,DOM便将前端html代码化为一个树状结构,方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式,且不需要经过服务端,所以DOM型xss在js前端自己就可以完成数据的输入输出,不与服务器产生交互,这样来说DOM型xss也可以理解为反射性xss。使别的用户访问都会执行相应的嵌入代码。攻击者将已经构造完成的恶意页面发送给用户,用户访问看似正常的页面后收到攻击,这类XSS通常无法直接在URL中看到恶意代码,具有较强的持久性和隐蔽性。
XSS 攻击与防御 | OWASP 提供XSS防御方案
sunpx3的博客
08-10 5899
      作为搞WEB的JAVA程序员,前台很容易碰到xss类的漏洞,但又不具备专业的安全知识,工作中项目紧的时候又没时间去研究那东西,所以就需要一个拿来就能用的,安全性合格的xss防御方法。      很幸运OWASP就提供了一个供java开发使用的xss防御方案。OWASP Java Encoder Project      OWASP的大名相信搞安全的同学都熟的不能再熟了,OWASP是一...
xss攻击入门
weixin_34067102的博客
04-06 328
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 xss攻击可以分成两种类型: 非持久型攻击 持久型攻击 下面我们通过具体例子,了解两种类型xss攻击。   1.非持久型xss攻击 顾名思义,非持...
OWASP Top 10--跨站脚本(XSS)》
ccAbner的博客
05-07 766
说明:本文章仅限于对跨站脚本漏洞的学习和了解        跨站脚本漏洞,即XSS发生在当应用程序发送给浏览器的页面中包含用户提供的数据,而这些数据没有经过适当的验证或转义(Escape)或没有使用安全的JavaScript API。1、定义        跨站脚本攻击(Cross Site Scripting),缩写为XSS(为了避免与样式CSS混淆,缩写为XSS),恶意攻击者往Web页面里插入...
XSS基础及实战(XSS提取cookie并登录的)
qidiandexiaowu
09-06 7546
该学新知识了! 目录XSS基础XSS分类反射型XSS的利用 XSS基础 XSS的定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSS分类 XSS有三类:反射型X
使用OWASP工具检测和修复XSS
danpu0978的博客
04-19 713
关于XSS漏洞扫描的文章很多。 在本文中,我们将尝试进一步介绍如何修复它们。 为了说明从初始检测到提供修复的整个过程,我们将使用一个非常简单的应用程序,其中包括两个JSP页面:一个是信用卡交易的付款表格,其中包含一些可利用XSS的代码。 另一个已修复了这样的代码:后者只是前者的修补版本。 我们将看到攻击者如何利用当前的XSS漏洞来欺骗用户,以收集其信用卡数据。 (下载易受攻击的应用程...
反射型xss测试(owasp
qq_1062290728的博客
03-31 1016
原文 How to test 黑盒测试 黑盒测试至少包括3个阶段: 寻找输入 对于每个网页,测试者要确认所有web应用中用户定义的变量,以及如何输入它们。这包括隐藏的输入,比如http参数、post数据、表单的隐藏字段和预定义的值。通常,用浏览器自带的html编译器或web代理来查看隐藏变量。 分析输入 分析每个输入以检测潜在漏洞。为了检测xss漏洞,测试者通常使用特定构建的输入数据。这类输入一般是无害的,但能触发此漏洞。测试数据能够用web应用fuzzer产生,或手动生成。这种输入的一些例子如下: &l
网站安全TOP10问题及其解决方案
keyboard专栏
07-11 1568
网站安全 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97THC1Xf-1594476753023)(C:\Users\user\AppData\Roaming\Typora\typora-user-images\image-20200711202115979.png)] 最常见的网站安全问题TOP10 1、Injection. 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可
OWASP TOP 10(二)XSS漏洞(概述、PoC、分类、构造、变形绕过、XSS-Filter、xsser、xsstrike)
Pluto.的博客
12-15 1466
文章目录OWASP Top 10XSS一、概述二、XSS危害三、XSS相关四、使用PoC代码简单验证XSS漏洞五、XSS分类1. 反射型XSS2. 存储型XSS3. DOM型XSS六、XSS的构造1. 利用<>构造HTML或JS标签2. 伪协议3. 事件驱动七、XSS的变形1. 大小写转换2. 引号的使用3. 利用左斜线代替空格4. 添加Tab或回车符5. 对标签属性值进行转码6. 拆分跨站7. 双写绕过XSS练习平台 OWASP Top 10 XSS 一、概述 XSS被称为跨站脚本攻击(Cro
owasp xss_使用OWASP工具检测和修复XSS
danpu0978的博客
05-13 996
owasp xss 关于XSS漏洞扫描的文章很多。 在本文中,我们将尝试进一步介绍如何修复它们。 为了说明从最初检测到提供修复的整个过程,我们将使用一个非常简单的应用程序,其中包括两个JSP页面:一个是信用卡交易的付款表格,其中包含一些可利用XSS的代码。 另一个已修复了这样的代码:后者只是前者的修补版本。 我们将看到攻击者如何利用当前的XSS漏洞欺骗用户,以收集其信用卡数据。 (下载...
XSS攻击检测技术研究
05-09
4. 防御XSS攻击的WAF(Web应用程序防火墙):WAF是一种拦截Web攻击的设备或软件,它可以检测和拦截XSS攻击,保护Web应用程序的安全。 5. 浏览器插件:一些浏览器插件可以帮助用户防御XSS攻击,例如NoScript、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值