xss攻击

最新推荐文章于 2024-06-20 02:49:18 发布
最新推荐文章于 2024-06-20 02:49:18 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: web安全 文章标签: XSS 攻击 web安全 CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wding914/article/details/89957297
版权

XSS攻击

XSS全称是Cross Site Scripting(为了和CSS进行区分,就叫XSS)即跨站脚本。

XSS的重点不在于跨站点,而是在于脚本的执行

XSS 是一种在web应用中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的,

它允许恶意web用户将代码植入到提供给其它用户使用的页面中 。

简单讲就是黑客将代码注入到页面中并且运行

XSS分类:

非持久型(反射型/DOM-based 型 )

  • 反射型

    一般通过修改URL参数的方式加入攻击代码, 诱导用户访问连接从而进行攻击

    比如: 在地址栏里写一些转账之类的代码, 诱导用户点击, 但是现在绝大多数的浏览器会过滤到这些代码
    ​ 场景: 此类 XSS 通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进行钓鱼欺骗。

  • DOM-based 型

    客户端如从 URL 中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本,而这些脚本没有经过适当的过滤和消毒,那么应用程序就可能受到 DOM-based XSS 攻击。

    场景: 需要特别注意以下的用户输入源 document.URL、 location.hash、 location.search、 document.referrer 等。

持久型(存储型)

  • 存储型

    将代码注入你的服务器, 当你在某个时刻调用的时候会直接运行代码, 窃取到你的数据

    比如: 将一段java后台语言的代码写在代码框里面, 在输入密码的时候, 代码发送到后台就直接运行了, 这样就会造成无法想象的后果

    场景: 存储型 XSS 一般出现在网站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中。

XSS攻击的危害:

1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马(网站篡改)

7、控制受害者机器向其它网站发起攻击

XSS防御技术

XSS防御的总体思路是:对输入(和URL参数)进行过滤,对输出进行编码

1.对输入进行过滤 : CSP(网页安全政策)

​ 设置一个白名单告诉浏览器, 哪些数据可以请求, 哪些数据不可以请求, 攻击者即使发现了漏洞, 也没法控制脚本.

方式1  HTTP 头信息的Content-Security-Policy的字段
Content-Security-Policy: script-src 'self'; object-src 'none';
style-src cdn.example.org third-party.org; child-src https:

方式2  网页的<meta>标签
<meta http-equiv="Content-Security-Policy:default-src 'self' "> 告诉浏览器只有本域名的资源可以请求

​ 启用后, 不符合CSF的外部资源就会被阻止加载

CSP: http://www.ruanyifeng.com/blog/2016/09/csp.html

2.对输出进行编码 : 转义字符

不影响内容输出, 且不引起JS的执行

function xss(str){
           return str.replace(/&/g, '&amp;')
                     .replace(/</g, '&lt;')
                     .replace(/>/g, '&gt;')
                     .replace(/"/g, '&quto;')
                     .replace(/'/g, '&#39;')
                     .replace(/`/g, '&#96;')
                     .replace(/\//g,'&#x2f;')
}

  1. 在服务器端对 Cookie 设置了HttpOnly 属性 , 防止客户端通过document.cookie读取 cookie

  2. 不要使用 eval或者v-html来解析并运行不确定的数据或代码

XSS攻击防御方法总结:

1.输入(和URL参数)进行过滤

输入的过滤分为白名单和黑名单 ,黑名单的验证就是不能出现某些字符,白名单的验证就是只能出现某些字符。尽 量使用白名单 ,白名单和黑名单结合

2.对输出进行编码;

CSRF ( 跨站请求伪造)

黑客搭建一个自己的服务器, 当用户在未知情况下登录了这个网站, 黑客就可以用你的身份发送请求给某些网站窃取资料

防御手段

​ 不让第三方平台请求

​ token验证

CSRF 和 XSS 的区别

区别一:

​ CSRF:需要用户先登录网站A,获取 cookie。

​ XSS:不需要登录。

区别二:(原理的区别)

​ CSRF:是利用网站A本身的漏洞,去请求网站A的api。

​ XSS: 是向网站 A 注入 JS代码,然后执行 JS 里的代码,篡改网站A的内容。

事件劫持

黑客创建一个网站, 在网站中设置iframe标签( 会创建包含另外一个文档的内联框架(即行内框架)), 引入银行之类的网站, 然后再使用样式遮挡等操作诱导用户点击或者输入他想要的数据

解决: 后台通过设置X-FRAME-OPTIONS:DENY就可以禁止iframe标签

wding914
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【项目实战】Web端的安全防护(高风险漏洞与解决方法)
本本本添哥
11-25 1115
Web端是网络安全的重要组成部分,因此常见的高风险漏洞也是很多的。下面列举了一些常见的Web端高风险漏洞以及对应的解决方法,Web端的安全防护非常重要,只有加强了安全防护才能有效防止高风险漏洞的发生。要遵循安全性原则,结合自身的业务特点进行定制化的安全配置,才能确保系统的安全性和稳定性。以下是一些常见的Web漏洞检测报告中列出的解决方法,开发人员和管理员应该根据实际情况选择合适的方法进行修复和防范。同时,要保持更新和升级软件版本、及时修补安全漏洞、加强日志记录和分析等措施来提高整个系统的安全性。
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
不好!有敌情,遭到XSS攻击【网络安全篇】
jinchunye的博客
03-08 2970
当一个目标的站点,被我们用户去访问,在渲染HTMl的过程中,出现了没有预期到的脚本指令,然后就会执行攻击者用各种方法注入并执行的恶意脚本,这个时候就会产生XSS
XSS跨站脚本攻击_反射型跨站脚本攻击需要过滤的字符
最新发布
2301_76224593的博客
06-20 982
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号。
Web安全系列(三):XSS攻击进阶
2301_77472496的博客
04-25 1042
XSS的防御很复杂,并不是一套防御机制就能就解决的问题,它需要具体业务具体实现。目前来说,流行的浏览器内都内置了一些XSS 过滤器,但是这只能防御一部分常见的XSS,而对于网站来说,也应该一直寻求优秀的解决方案,保护网站及用户的安全,我将阐述一下网站在设计上该如何避免XSS攻击。HttpOnly最早是由微软提出,并在IE 6中实现的,至今已经逐渐成为一个标准,各大浏览器都支持此标准。具体含义就是,如果某个Cookie带有HttpOnly属性,那么这一条Cookie将被禁止读取,也就是说,
sql注入,XSS攻击可通过 继承HttpServletRequestWrapper重写request实现修改request请求
wst260的博客
12-25 1216
首先创建一个类继承ServletRequestWrapper类,重写request请求 import java.io.StringReader; import java.io.StringWriter; import java.text.CharacterIterator; import java.text.StringCharacterIterator; import javax.serv...
XSS漏洞攻击(二)
qwzf
07-16 790
XSS漏洞攻关(二) 前言 之前已经总结过一部分xss的一些绕过方式,但由于其他原因没有总结完,现在有时间了,于是参考了大牛的博客,继续总结了一下。 正文 XSS攻击常见利用方式(后续) 7.HTTP头流量包注入 这一部分需要抓包改包,还好之前学习了点HTTP协议基础。 就再次了解下BurpSuite怎么抓包改包就行了。 参考博客:Burpsuite拦截并修改request/response L...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
8、XSS 攻击的防御pdf资料
10-15
XSS攻击的核心在于将恶意的JavaScript代码注入到网页中,当用户浏览含有这些脚本的网页时,浏览器会执行这些代码,导致用户受到攻击XSS攻击主要发生在用户可以输入数据的地方,如微博、留言板、聊天室等。如果...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
XSS攻击实例1
01-11
在本实例"XSS攻击实例1"中,我们将探讨这种攻击的原理、类型以及如何在Asp.net框架下预防。 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意参数的链接,将脚本插入到...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
什么是 XSS 攻击?XSS 攻击有哪几种类型?
SCUhzs
12-27 3836
作者:代码熬夜敲来源:SegmentFault 思否社区前言:网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。什么是XSS攻击?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击有哪几种类型?常见的XSS攻击有三
图解HTTP 十一、Web攻击技术
ziggy7的博客
12-01 282
针对Web攻击技术  互联网的攻击大多是冲着Web站点来的。 HTTP不具备必要的安全功能  HTTP在安全性方面较为劣势。 在客户端可篡改请求   针对Web应用的攻击模式 ●主动攻击攻击者直接访问Web应用,把攻击代码传入。需要攻击者能够访问那些资源。如SQL注入和OS命令注入攻击。 ●被动攻击:是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程,攻击者不直接对目标Web应用访问发起攻击。 其余见 https://blog.csdn.net/u010150046/article/detai
Java防止Xss注入json_前端进阶,你必须要了解的安全问题之XSS攻击
weixin_39621379的博客
11-20 548
前端安全一直是一个老生常谈的话题,但是在实际的工作过程中,我发现大部分的前端同学对此了解不多,或者说知道一些但从没有在意识层面真正重视过。今天我们就来扒一扒前端到底有哪些安全问题,我们到底该以什么样的态度怎么去看待它。在深入分析之前我们还是按照惯例先大概介绍下什么是XSS攻击XSS-跨站脚本攻击跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击...
参数篡改(Parameter Tampering)
qq_16229873的博客
09-10 4250
参数篡改(Parameter Tampering):此类攻击是基于对客户端和服务器之间交换参数的操纵控制,它通过修改Web应用交互中存储在cookies、提交请求、隐藏表单字段或URL查询字符串中涉及的数据参数,如用户凭证、权限、产品价格、数量等,来实现控制和更改Web应用功能。参数篡改攻击的目的是为了获取利益,或利用中间人攻击来深入攻击其他人。 在这里,参数篡改涉及的漏洞无疑就是价格操纵了,这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值