实现简单的xss

已于 2022-04-12 21:24:52 修改
阅读量1k 收藏 1
点赞数 2
分类专栏: 安全 文章标签: 安全 xss
于 2022-04-12 21:17:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t102526/article/details/124134060
版权

1.简介

XSS(跨站脚本攻击)又叫CSS (Cross Site Script) ,为了区别层叠样式表(CSS)所以叫XSS,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的,它指的是攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。
在这里插入图片描述

2.利用xss

一、窃取用户的cookie,登陆用户账号
二、进行社工钓鱼,如弹出来假的后台页面或者弹一个下载flash的木马页面
三、配合CSRF漏洞进行蠕虫攻击

3.分类

常见的有三种:反射型、DOM-based 型、存储型。
其中存储型归类为持久型 XSS 攻击,反射型、DOM-based 型可以归类为非持久型 XSS 攻击。
反射型:经过后端,不经过数据库
存储型:经过后端,经过数据库
DOM:不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的
DOM:客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本,而这些脚本没有经过适当的过滤和消毒,那么应用程序就可能受到 DOM-based XSS 攻击。需要特别注意以下的用户输入源 document.URL、 location.hash、 location.search、 document.referrer 等

4.php实现简单的xss

‘’'php

<?php $input = $_GET["xss"]; echo "
".$input."
"; ?>

‘’’
传入的xss值会输出
在这里插入图片描述

http://127.0.0.1/php/xss.php?xss=alert(“xss”)<?script>
在这里插入图片描述http://127.0.0.1/php/xss.php?xss=alert(/xss/)<?script>
在这里插入图片描述
http://127.0.0.1/php/xss.php?xss=
在这里插入图片描述

http://127.0.0.1/php/xss.php?xss=在这里插入图片描述

tlucky1
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单易懂的XSS(跨站脚本攻击)
weixin_47204991的博客
10-29 1655
跨站脚本(简称为XSS或跨站脚本或跨站脚本攻击)是针对Web应用程序的安全漏洞攻击,允许用户插入恶意的脚本,从而当用户浏览网页时,插入的脚本就会执行。从而达到攻击的目的。 1.反射型XSS 反射型XSS又叫非持久性XSS,反射型XSS注入的恶意代码不会保存在服务器端,需要欺骗用户去点击恶意链接才能攻击成功。一般通过XSS来窃取用户的cookie。 反射型XSS攻击流程: 2.存储型XSS 存储型XSS又叫持久型XSS,攻击脚本会永久存储在目标服务器。例如在个人信息或者留言板之类的地方插入恶意脚本,用户访
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
AntiSamy.NET:NET Core的基于策略的反XSS
05-08
反萨米网 一个.net标准库,用于执行来自不受信任来源HTML的可配置清除。 换句话说,它是一个API,可以帮助您确保客户端不会在其提供给个人资料,注释等HTML提供恶意的货物代码,这些代码会持久保存在服务器上。 关于Web应用程序的术语“恶意代码”通常表示“ JavaScript”。 通常,级联样式表仅在调用JavaScript时才被认为是恶意的。 但是,在许多情况下,可能以恶意方式使用“正常” HTML和CSS。 如何使用 首先,从Nuget添加依赖项 install-package AntiSamy Policy antiSamyPolicy = Policy . FromFile ( " <your> " ) AntiSamy antiSamy = new AntiSamy (); string yourDirtyInput =
【web安全XSS攻击(跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 4961
XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
XSS简单攻击
qq_51627527的博客
12-15 525
xss的分类1 第一种:反射型xss 反射型XSS是最简单XSS,即输入XSS脚本或输入XSS脚本点击按钮即可完成XSS攻击,同时也称作非持久型XSS。漏洞主要存在于URL地址栏,搜索框等。 第二种:存储型XSS 也叫持久型XSS,主要将XSS代码提交存储在服务器端,下次请求目标页面时不用在提交XSS代码。当目标用户访问该页面获取数据时,XSS代码会从服务器解析之后加载出来,返回到浏览器做正常的HTML和JS解析执行,XSS攻击就发生了。该类型的漏洞主要存在于发帖,回帖评论等模块,以及用户注册等模块。 第
summernote 富文本提交数据 数据库没有富文本的样式 xss过滤标签
汤圆的博客
10-19 441
原因 : xss过滤了这些标签,需要在配置文件里在xss配置不需要过滤的文件 也是之前看过的一个博主的
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 3094
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS的攻击及防御代码的简单演示
04-25
这个是XSS的攻击及防御代码的简单演示,利用Node搭建的
简单XSS
Feng_Blue_的博客
10-08 241
通过hackbar传参<script><script>alert(/xss/);</script>;</script>,发现页面只显示了alert(/xss/);,可能存在标签过滤,验证 发现并无过滤,猜测可能是只过滤了<script>标签,尝试大写 在修改其的一个字母后,提交,成功触发。 看一下源代码 可以发现,在get接收到参数以后,进行了替换,将<script></script>替换成为...
XSS 简单理解
weixin_34388207的博客
07-07 108
什么是XSSXSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web application的计算机安全漏洞。XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用户输入输出到浏览器,则浏览器将会执行用户注入的脚本。 XSS的分类根据XSS造成的影响,可以将XSS分为非持久型和持久型。1.             非持久型,也叫反射型XS...
XSS攻击简单实例
绝圣弃智-零的博客
03-25 4057
下面演示一个简单的留言板攻击实例 我们有个页面用于允许用户发表留言,然后在页面底部显示留言列表 前端代码如下: <!DOCTYPE html><html><head> <?php include('/components/headerinclude.php');?></head> <style type=...
js实现简易点击切换显示或隐藏
01-21
本文实例为大家分享了js实现简易点击切换显示或隐藏的具体代码,供大家参考,具体内容如下 html: 点击切换显示隐藏 <div class=close xss=removed>关闭 <div class=open xss=removed>打开 css: * { margin:0...
js实现简易拖拽的示例
01-18
简易拖拽 目录 代码实例 代码解析 scrollWidth,clientWidth,offsetWidth的区别 offsetX,clientX,pageX的辨析 下载源码链接  代码实例 <div id=box xss=removed> (function () { var dragging = false var ...
调查:XSS攻击Web应用程序-研究论文
05-20
交叉脚本(XSS)是Web应用程序的重大风险,因为它是对Web应用程序的基本而简单的攻击。 Xss为攻击设置了平台,例如跨站点请求会话劫持,伪造...等。 XSS攻击是一种注入攻击,其攻击者在客户端程序的用户端或...
渗透工具开发——XSS平台的命令行实现
Spontaneous_0的博客
02-20 1061
渗透工具开发——XSS平台的命令行实现
XSS (跨站脚本攻击) 分析与实战
未完成的歌~的博客
01-14 5275
文章目录一、漏洞原理1、XSS简介:2、XSS原理解析:3、XSS的分类:3.1、反射型XSS3.2、存储型XSS3.3、DOM型XSS二、靶场实战XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安全漏洞之一,这类漏洞能够使攻击者嵌入恶意脚本代码(一般是JS代
全网最详细 XSS 跨站脚本攻击,不是过来打死我!!
liuhyusb的博客
06-21 1783
​。
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 1849
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
java filter实现xss过滤
03-29
下面是一个简单XSS过滤Filter的实现: ``` public class XSSFilter implements Filter { public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } public void doFilter...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值