XSS跨站脚本攻击漏洞之1原理及分类

最新推荐文章于 2024-10-14 21:47:40 发布
最新推荐文章于 2024-10-14 21:47:40 发布
阅读量2k 收藏 3
点赞数 1
分类专栏: XSS web安全攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011785309/article/details/104647416
版权
本文详细介绍了XSS跨站脚本攻击的原理,包括介绍其为前端页面注入恶意代码以获取用户信息的方式。接着,文章深入探讨了XSS的三种类型:反射型、存储型和DOM型,解释了每种类型的攻击过程和应用场景。最后,通过对比分析,揭示了这三种XSS类型危害程度的差异,以帮助读者更好地理解XSS漏洞。
摘要由CSDN通过智能技术生成

说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~

一、XSS漏洞介绍

1.简介

XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。
跨站点脚本(XSS)攻击是一种针对网站应用程序的注射型攻击,攻击者在可信的网页中嵌入恶意代码,用户访问可信网页时触发XSS而被攻击。

2.原理

攻击者在有XSS漏洞的前端页面嵌入恶意代码,导致受害者访问页面再不知情的情况下触发恶意代码,获取到受害者的信息。
形成XSS漏洞的原因,是对输入输出的内容过滤不严格,构造的恶意js代码被前端执行。

3.攻击过程

画个图来展示一下它的大致攻击过程:
在这里插入图片描述

  • 常见的恶意JS脚本有获取用户的cookie、或者是键盘钩子来记录用户的键盘输入。

二、XSS的分类

XSS漏洞分为三个类型:反射型、存储型、DOM型。

1.反射型

反射型XSS是一次性的,非持久型攻击。

可能的攻击方式:
攻击者可以通过电子邮箱等方式将包含XSS的恶意js代码的链接发送给目标用户。当用户

最低0.47元/天 解锁文章
ISNS
关注
专栏目录
XSS(跨站脚本攻击)详解
谢公子的博客
09-08 7万+
目录 XSS原理分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS原理分类 跨站脚本攻击XSS(Cros...
【网络安全】XSS跨站脚本漏洞可以讲的这么详细
你在看屏幕的同时,屏幕也在注视着你
04-27 606
XSS跨站脚本漏洞一、了解XSS漏洞是什么1.XSS定义2.XSS危害3.XSS漏洞产生原因二、XSS漏洞分类1.反射性XSS(1)什么是反射型XSS(2)演示2.DOM型XSS(1)什么是DOM型XSS(2)演示3.存储形XSS(1)什么是存储型XSS(2)演示三、XSS绕过1.标签外(1)直接添加标签绕过1.标签内(1)构造闭合(2)填写事件(3)大小写绕过绕过演示(4)双写绕过(5)编码转译绕过(6)空格、回车、table绕过(7)非闭合标签(8)利用特性进行绕过四、小结 一、了解XSS漏洞是什么 1
跨站脚本XSS漏洞
梁辰兴的博客
06-07 4986
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。甚至可以结合浏览器自身漏洞对用户主机进行远程控制等。形
XSS 的三种类型及区别
m0_57836225的博客
10-10 1244
在网络安全领域,XSS跨站脚本攻击)是一种常见的安全漏洞。本文将介绍 XSS 的三种类型,包括反射型、存储型和 DOM 型,并分析它们之间的区别。
跨站脚本漏洞XSS
qq_48904485的博客
03-22 8665
一、XSS跨站脚本基础 1、XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2、XSS漏洞原理 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执
XSS跨站脚本漏洞介绍
最新发布
weixin_44656518的博客
10-14 1269
跨站脚本(Cross Site Scripting)为避免与前端叠成样式表(Cascadiing Style Sheets)的缩写"CSS"冲突,故简称XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。XSS是指恶意攻击者利用网站提供的接口,没有对用户提交数据进行转义处理,或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
跨站脚本攻击漏洞XSS):基础知识和防御策略
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7953
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
2024年网络安全最新【网络安全之XSS跨站脚本攻击漏洞详解】
2401_84300239的博客
05-01 125
存储型与反射型的差别就是,存储型XSS通过拼接正常的JS语句使攻击脚本植入数据库,攻击者将XSS代码发送给了后端,而后端没有对这些代码做处理直接存储在数据库中。当用户访问网站时,又直接从数据库调用出来传给前端,前端解析XSS代码就造成了XSS攻击。存储型XSS攻击经常出现在博客和留言板中,攻击者在留言时将恶意脚本语句混入正常帖子的内容中被服务器存储在数据库中。当其他用户浏览这个被注入了恶意脚本的留言时,就会触发恶意脚本,造成XSS工具。
xss跨站脚本攻击原理
maluxiao123的博客
04-02 999
xss全称跨站脚本攻击,通过字面理解就是跨过网站进行攻击。其原理是前端提交的参数被当成网站js代码来被执行了。发生的场景通常在web的前端。比如我在网站的留言板处输入一个 这里 xss通常分为三种: 反射型: 存储型(持久型): dom型xss: ...
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 2420
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
【Web漏洞探索】跨站脚本漏洞
kjcxmx的博客
08-03 4040
跨站脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。跨站脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS跨站脚本是一种网站应用程序的安全漏洞攻击,是代码注入的一种。...
XSS漏洞01】XSS漏洞概述与分类
Fighting_hawk的博客
02-23 3325
1. 掌握XSS的攻击过程; 2. 掌握XSS分类及各类原理; 3. 了解XSS的危害。
xss漏洞及其种类
weixin_43326436的博客
06-08 1597
一.介绍xss 1.xss跨站脚本,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入中的一种,他允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响,恶意用户利用xss代码攻击成功后,可能得到很高的权限(如执行一些操作),私密网页等内容,会话和cookie等各种内容,可以用于钓鱼攻击,挂马,cookie获取前端js等攻击行为,而且广泛适用于和其他漏洞结合,达到攻击服务器的目的。 2.xss漏洞一直被认为是web安全中危害较大的漏洞xss成为今天很多黑客更喜欢的漏洞利用方式。 3.xss攻击分为
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
热门推荐
m0_64378913的博客
05-13 2万+
目录1 XSS漏洞简介2 XSS漏洞危害3 XSS漏洞分类3.1 反射型XSS3.2 存储型XSS3.3 DOM型XSS3.3.1 节点树模型3.3.2 DOM型XSS4 漏洞验证4.1 漏洞验证相关概念4.2 漏洞验证相关概念之间的区别4.3 常见POC5 XSS漏洞验证实例5.1 反射型XSS漏洞验证实例5.2 存储型XSS漏洞验证实例5.3 DOM型XSS漏洞验证实例6 总结参考文章 1 XSS漏洞简介 定义/原理跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是
xss的理解与xss的攻击示例原理以及如何防护
YvesHe的专栏
10-16 813
一、简介 什么是XSS? 百度百科的解释:XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、分类 xss攻击可以分...
web常见漏洞——XSS
m0_64365018的博客
08-17 1379
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等,xss又分为了三种类型分别为存储型反射型DOM型。
理解XSS跨站脚本攻击原理、危害与防御
XSS跨站脚本攻击是Web应用程序中常见的安全漏洞,其名称源于为了避免与CSS(层叠样式表)混淆而得名。这种攻击方式允许恶意攻击者通过在网站上注入代码,利用网站对用户输入数据的信任,对其他用户实施危害。XSS攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值