XSS跨站脚本攻击漏洞之1原理及分类

最新推荐文章于 2024-08-17 16:48:35 发布
最新推荐文章于 2024-08-17 16:48:35 发布
阅读量2k 收藏 3
点赞数 1
分类专栏: XSS web安全攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011785309/article/details/104647416
版权
本文详细介绍了XSS跨站脚本攻击的原理,包括介绍其为前端页面注入恶意代码以获取用户信息的方式。接着,文章深入探讨了XSS的三种类型:反射型、存储型和DOM型,解释了每种类型的攻击过程和应用场景。最后,通过对比分析,揭示了这三种XSS类型危害程度的差异,以帮助读者更好地理解XSS漏洞。
摘要由CSDN通过智能技术生成

说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~

一、XSS漏洞介绍

1.简介

XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。
跨站点脚本(XSS)攻击是一种针对网站应用程序的注射型攻击,攻击者在可信的网页中嵌入恶意代码,用户访问可信网页时触发XSS而被攻击。

2.原理

攻击者在有XSS漏洞的前端页面嵌入恶意代码,导致受害者访问页面再不知情的情况下触发恶意代码,获取到受害者的信息。
形成XSS漏洞的原因,是对输入输出的内容过滤不严格,构造的恶意js代码被前端执行。

3.攻击过程

画个图来展示一下它的大致攻击过程:
在这里插入图片描述

  • 常见的恶意JS脚本有获取用户的cookie、或者是键盘钩子来记录用户的键盘输入。

二、XSS的分类

XSS漏洞分为三个类型:反射型、存储型、DOM型。

1.反射型

反射型XSS是一次性的,非持久型攻击。

可能的攻击方式:
攻击者可以通过电子邮箱等方式将包含XSS的恶意js代码的链接发送给目标用户。当用户

最低0.47元/天 解锁文章
ISNS
关注
专栏目录
XSS(跨站脚本攻击)详解
谢公子的博客
09-08 7万+
目录 XSS原理分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS原理分类 跨站脚本攻击XSS(Cros...
跨站脚本XSS漏洞
梁辰兴的博客
06-07 4954
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。甚至可以结合浏览器自身漏洞对用户主机进行远程控制等。形
XSS-跨站脚本攻击
qq_64177395的博客
08-16 1528
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
跨站脚本漏洞XSS
qq_48904485的博客
03-22 8585
一、XSS跨站脚本基础 1、XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2、XSS漏洞原理 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执
跨站脚本攻击漏洞XSS):基础知识和防御策略
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
xss跨站脚本攻击原理
maluxiao123的博客
04-02 977
xss全称跨站脚本攻击,通过字面理解就是跨过网站进行攻击。其原理是前端提交的参数被当成网站js代码来被执行了。发生的场景通常在web的前端。比如我在网站的留言板处输入一个 这里 xss通常分为三种: 反射型: 存储型(持久型): dom型xss: ...
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7903
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 2176
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
【Web漏洞探索】跨站脚本漏洞
kjcxmx的博客
08-03 4003
跨站脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。跨站脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS跨站脚本是一种网站应用程序的安全漏洞攻击,是代码注入的一种。...
【网络安全】XSS跨站脚本漏洞可以讲的这么详细
你在看屏幕的同时,屏幕也在注视着你
04-27 594
XSS跨站脚本漏洞一、了解XSS漏洞是什么1.XSS定义2.XSS危害3.XSS漏洞产生原因二、XSS漏洞分类1.反射性XSS(1)什么是反射型XSS(2)演示2.DOM型XSS(1)什么是DOM型XSS(2)演示3.存储形XSS(1)什么是存储型XSS(2)演示三、XSS绕过1.标签外(1)直接添加标签绕过1.标签内(1)构造闭合(2)填写事件(3)大小写绕过绕过演示(4)双写绕过(5)编码转译绕过(6)空格、回车、table绕过(7)非闭合标签(8)利用特性进行绕过四、小结 一、了解XSS漏洞是什么 1
XSS漏洞01】XSS漏洞概述与分类
Fighting_hawk的博客
02-23 3300
1. 掌握XSS的攻击过程; 2. 掌握XSS分类及各类原理; 3. 了解XSS的危害。
xss漏洞及其种类
weixin_43326436的博客
06-08 1567
一.介绍xss 1.xss跨站脚本,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入中的一种,他允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响,恶意用户利用xss代码攻击成功后,可能得到很高的权限(如执行一些操作),私密网页等内容,会话和cookie等各种内容,可以用于钓鱼攻击,挂马,cookie获取前端js等攻击行为,而且广泛适用于和其他漏洞结合,达到攻击服务器的目的。 2.xss漏洞一直被认为是web安全中危害较大的漏洞xss成为今天很多黑客更喜欢的漏洞利用方式。 3.xss攻击分为
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
热门推荐
m0_64378913的博客
05-13 2万+
目录1 XSS漏洞简介2 XSS漏洞危害3 XSS漏洞分类3.1 反射型XSS3.2 存储型XSS3.3 DOM型XSS3.3.1 节点树模型3.3.2 DOM型XSS4 漏洞验证4.1 漏洞验证相关概念4.2 漏洞验证相关概念之间的区别4.3 常见POC5 XSS漏洞验证实例5.1 反射型XSS漏洞验证实例5.2 存储型XSS漏洞验证实例5.3 DOM型XSS漏洞验证实例6 总结参考文章 1 XSS漏洞简介 定义/原理跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是
xss的理解与xss的攻击示例原理以及如何防护
YvesHe的专栏
10-16 802
一、简介 什么是XSS? 百度百科的解释:XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、分类 xss攻击可以分...
web常见漏洞——XSS
最新发布
m0_64365018的博客
08-17 1284
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等,xss又分为了三种类型分别为存储型反射型DOM型。
理解XSS跨站脚本攻击原理、危害与防御
XSS跨站脚本攻击是Web应用程序中常见的安全漏洞,其名称源于为了避免与CSS(层叠样式表)混淆而得名。这种攻击方式允许恶意攻击者通过在网站上注入代码,利用网站对用户输入数据的信任,对其他用户实施危害。XSS攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值