XSS跨站脚本攻击过程最简单演示

最新推荐文章于 2024-08-16 18:08:04 发布
最新推荐文章于 2024-08-16 18:08:04 发布
阅读量8.2w 收藏 93
点赞数 22
分类专栏: web开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smstong/article/details/43561607
版权
本文通过一个简单的XSS跨站脚本攻击案例,详细解释了攻击过程,包括角色分配、源码实例、攻击步骤以及如何预防XSS攻击。黑客构造攻击URL,诱使用户点击,获取其敏感数据,强调了网站开发者应采取措施消除XSS漏洞及用户应注意网络安全。
摘要由CSDN通过智能技术生成

大多数人对于XSS的原理有一个基本认识,这里不再重复,只给出一个能够演示其原理的完整样例。

1 角色分配

  • 有XXS漏洞的网站,IP地址172.16.35.135,PHP为开发语言
  • 受害访问者,IP地址172.16.35.220,浏览器为IE11
  • 黑客的数据接收网站,IP地址172.16.2.192,PHP为开发语言

2 源码实例

2.1 漏洞网站

存在漏洞的URL为:http://172.16.35.135/xss_demo.php

<?php
session_start();
?>
<!doctype html>
<html>
    <head>
        <title>XSS demo</title>
    </head>
    <body>
    <form>
    <input style="width:300px;" type="text" name="address1" value="<?php echo $_GET["address1"]; ?>" />
            <input type="submit" value="Submit" />
        </form>
    </body>
</html>


该网页把用户通过GET发送过来的表单数据,未经处理直接写入返回的html流,这就是XSS漏洞所在。

2.2 黑客接收网站

最低0.47元/天 解锁文章
smstong
关注
专栏目录
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
杨秀璋的专栏
10-12 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解,最后分享了如何预防XSS攻击。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
跨站脚本攻击漏洞XSS):基础知识和防御策略
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
XSS-跨站脚本攻击
最新发布
qq_64177395的博客
08-16 2759
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
【WEB漏洞原理】XSS 跨站脚本攻击
过期的秋刀鱼
08-26 3166
当用户访问被XSS 脚本注入过的网页,XSS 脚本就会被提取出来,用户浏览器就会解析执行这段代码,也就是说用户被攻击了。DOM 型XSS 是一种XSS 攻击,其中攻击的代码是由于修改受害者浏览器页面的DOM 树而执行的。搜索框、登录框、微博、留言板、聊天室等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 的风险。XSS 攻击目标是客户端浏览器用户,由于浏览器的类别不同,攻击效果不同,甚至于同一款浏览器,攻击效果都不一样。浏览器的类型,版本等因素都会影响XSS 的效果。
全网最详细 XSS 跨站脚本攻击,不是过来打死我!!
liuhyusb的博客
06-21 2797
​。
渗透测试之XSS跨站脚本攻击
weixin_52177486的博客
02-03 1274
XSS的概念、分类、实例
XSS跨站脚本攻击)——原理、基本类型与应用(反射型、存储型)
m0_74249600的博客
08-14 1566
本文讲述了XSS的原理以及两种基本类型:反射型、存储型的讲解与靶场实践,请关注持续更新(本文部分内容来自课件,如有版权问题请与我联系)
常见的Web攻击方式:SQL注入、XSS跨站脚本攻击、CSRF跨站点请求伪造
学习
07-07 7059
常见的Web攻击有SQL注入、XSS跨站脚本攻击、跨站点请求伪造共三类,下面分别简单介绍。 1 SQL注入 1.1 原理        SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入漏洞到底是以怎样的形式进行攻击的呢,接下来将以一个简单的实例来进行介绍。   &...
XSS (跨站脚本攻击) 分析与实战
a10534126的博客
02-23 1718
文章目录 一、漏洞原理 1、XSS简介: 2、XSS原理解析: 3、XSS的分类: 3.1、反射型XSS 3.2、存储型XSS 3.3、DOM型XSS 二、靶场实战 XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安
XSS的攻击及防御代码的简单演示
04-25
这个是XSS的攻击及防御代码的简单演示,利用Node搭建的
XSS(跨域脚本攻击)
m0_52244931的博客
10-23 4009
XSS(跨域脚本go攻击
最全--跨站脚本攻击XSS)举例和预防方法
Keep trying, keep going
04-30 1625
跨站脚本攻击XSS)是指攻击者通过,从而窃取用户信息、篡改网页内容等。。
实验22:反射型xss案例及演示
qq_44720671的博客
04-15 3729
反射型xss案例及演示 我们以pikachu的xss靶场为例: 首先我们要确定这个地方有没有xss漏洞,我们可以随意输入一些特殊符号,来看看这些特殊符号会不会被过滤掉,然后再看看会不会输出结果 然后我们打开页面的源码 使用Ctrl+F进行搜索,找到我们刚才输入的字符 这个字符被输出到了HTML中的p字头里面了,我们在这个地方可以输入一个符合语言环境的字符串,但这里的长度受到了限制,当输入一...
跨站脚本攻击XSS(最全最细致的靶场实战)
m0_51468027的博客
01-31 4万+
一、XSS跨站漏洞 (1)XSS简介   网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌.
XSS盲打演示和讲解;XSS绕过思路讲解和案例演示XSS绕过关于htmlspecialchars()函数;XSS常见防范措施
qq_44696653的博客
05-04 929
XSS盲打演示和讲解 当只有后台会看到前端输入的内容而前端无法判断是否存在XSS时,我们可以插入XSS代码。这个时候由于后端的安全考虑往往不会很严格,所以当管理员登陆的时候就会被X。 在pikachu上具体的实验演示; 1.在XSS盲打模块根据前端的提示输入相关信息,发现输入的信息只会反馈给后台,在前端无法显示。这里就可以不管别的直接输入跨站脚本的内容 例如:<script>alert...
XSS漏洞演示
MyDriverC
12-16 844
http://www.2cto.com/Article/201205/131624.html 先扫描目标存在漏洞。扫出了好多XSS 随便找一个测试下,弹窗出来了,可以利用 把我们的利用代码转码,以免被浏览器安全策略过滤。 复制转码后的代码,和漏洞地址合一块,生成一个URL。 访问URL,自动跳转到我的服务器内攻击页面。
Web安全之XSS攻防
热门推荐
Hei, Welcome To vickie's Blog,Good Good Study, Day Day Up ~
04-18 4万+
Web安全之XSS攻防 1. XSS的定义 2. XSS的原理 3. XSS攻击方式 4. XSS防御措施 5.一个简单XSS攻击演示
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值