浅谈XSS攻击

最新推荐文章于 2021-02-17 16:49:57 发布
最新推荐文章于 2021-02-17 16:49:57 发布
阅读量70 收藏
点赞数
原文链接:http://www.cnblogs.com/yubenliu/p/6483983.html
版权

    xss 的介绍

我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下:

1、耗时间
2、有一定几率不成功
3、没有相应的软件来完成自动化攻击
4、前期需要基本的html、js功底,后期需要扎实的html、js、actionscript2/3.0等语言的功底
5、是一种被动的攻击手法
6、对website有http-only、crossdomian.xml没有用

但是这些并没有影响黑客对此漏洞的偏爱,原因不需要多,只需要一个。

Xss几乎每个网站都存在,google、baidu、360等都存在。

 

实例

http://xiaozhangkeji.cn/d/question_queryList.html?key=

 

打开的页面如下:

分析搜索页的源代码

 

一般表单在搜索的时候直接把字段带到 input 的 value 里面

所以我们可以够做一个URL

http://xiaozhangkeji.cn/d/question_queryList.html?key="><script>alert(document.cookie)</script>

构造的原理首先使用  ”  >来闭合 value的值 然后使用<script>alert(document.cookie)</script>弹出用户的COOKIE的信息

运行结果如下:

 

分析源代码:

 

用户输入的值空,并且成功插入了一段弹出COOKIE 的代码,是代码分割

 

转载于:https://www.cnblogs.com/yubenliu/p/6483983.html

weixin_30552635
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
03-04
1.什么是XSS2.XSS攻击手段和目的3.XSS的防范4.新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将...
浅谈利用JavaScript进行的DDoS攻击原理与防御
10-24
主要介绍了浅谈利用JavaScript进行的DDoS攻击原理与防御,以及介绍了相关的中间人攻击原理,需要的朋友可以参考下
浅谈XSS字符编码浏览器解析原理
Q1n6
07-28 4620
转自:https://security.yirendai.com/news/share/26 开篇 谈起XSS漏洞挖掘,可能不少朋友会因为不是很了解字符编码浏览器解析原理与漏洞擦肩而过,而并非”洞”本身不存在;谈起XSS防御,许多童鞋也是四个字脱口而出“过滤转义”,而忽略了很多细节; 本文讨论范围主要包括XSS漏洞挖掘过程中关于字符编码方面的内容,并简单理解一下浏览器解析过程辅助深入
浏览器编码解码与XSS详解
qq_43936524的博客
02-17 1678
文章目录浏览器的工作流程浏览器的主要构成浏览器的渲染引擎和解释器浏览器中的编码类型url编码html实体编码unicode编码浏览器解析浏览器的工作流程 浏览器的主要构成 用户界面- 包括地址栏、后退/前进按钮、书签目录等,也就是你所看到的除了用来显示你所请求页面的主窗口之外的其他部分 浏览器引擎- 用来查询及操作渲染引擎的接口 渲染引擎- 用来显示请求的内容,例如,如果请求内容为html,它负责解析html及css,并将解析后的结果显示出来 网络- 用来完成网络调用,例如http请求,它具有平台无
浏览器解析原理
weixin_30787531的博客
04-21 111
浏览器工作流程 先来个流程图,让大家心里有个底: 从上图,我们能看到这几点: 浏览器解析 HTML生成DOM Tree CSS生成Style Rules 解析完成后,浏览器引擎会通过DOM Tree 和 CSS Rule Tree 来构造 Render Tree(渲染树)。注意:Render Tree 渲染树并不等于DOM树,因为head元素和一些display:none的元素...
XSS字符编码浏览器解析原理
BerL1n
12-29 1426
time: 2019-05-12 21:27 XSS字符编码基本介绍: 提起XSS 想到的就是插入字符字符编码与各种解析了!现在介绍一下在xss中最经常用到的编码 html实体编码(10进制与16进制): 如把尖括号编码[ < ] -----> html十进制: < html十六进制:&#x3 c; javascript的八进制跟十六进制: 如把尖括号编码[ < ] -----> js八进制: \74 js十六进制: \x3c jsunicode编码
XSS的常见变换--XSS***发展
weixin_34194359的博客
09-23 130
XSS不具有浏览器通用性。不同的浏览器对同一XSS的适用不一样。相比较而言,IE8和Firefox相对更安全,本身就对XSS***有更严格的过滤。而IE6的安全性一般,即使***者的代码有些“变形”,浏览器还是会“尽力而为”的解析。而其他的一些浏览器如opera,XSS安全处理可能做得更差。本文基本上是在IE6的基础上给大家分析XSS的变形和绕过。以便大家有针对性的防护。作者...
浅谈 xss 攻击
学无的博客
06-30 228
xss 是跨站脚本攻击,主要原理是对网站注入js 脚本,这样当注入的js 脚本执行的时候就达到了恶意攻击的目的。 方法: 1.现在很多页面是通过浏览器的url 进行数据传输,这个时候如果把传输数据改成js 脚本,再如果开发在取数据的时候没进行任何校验的时候,那么我们的网站就可能受到xss攻击了 2. 输入的xss 攻击 ,在许多网站有文章或者评论的输入,这个时候如果输入一串script 代码就比如获取cookie 数据的代码然后传给自己的服务。这样下次别的用户查看文章的时候这段脚本就会执行,导致用户.
浅谈html转义及防止javascript注入攻击的方法
10-20
6. **XSS Filter**:浏览器内置的XSS过滤器可以在一定程度上阻止某些类型的XSS攻击,但这不应作为唯一的防护手段,因为过滤器可能被绕过。 综上所述,理解HTML转义和防止JavaScript注入攻击对于Web开发人员来说至关...
07-XSS之攻击与防御1
08-03
1、论安全响应中心的初衷 2、安全应急响应中心之威胁情报探索 3、论安全漏洞响应机制扩展 4、企业级未授权访问漏洞防御实践 5、浅谈企业SQL注入漏洞的危害与防
浅谈Vue的基本应用
11-29
本文将浅谈Vue的基本应用,主要涉及`$mount`方法、`created`生命周期钩子以及`v-text`指令的使用。 1. `$mount`方法:在Vue实例化时,我们通常会使用`new Vue({ el: '#app' })`来挂载Vue实例到HTML元素。然而,有...
xss和实体编码的一点小思考
weixin_34234721的博客
12-22 840
首先,浏览器渲染分以下几步: 解析HTML生成DOM树。 解析CSS生成CSSOM规则树。 将DOM树与CSSOM规则树合并在一起生成渲染树。 遍历渲染树开始布局,计算每个节点的位置大小信息。 将渲染树每个节点绘制到屏幕。 已知的问题: "" 之间的xss我们都知道可以使用伪协议,那么如果冒号或者javascript等关键字被过滤了我们应该如何解决? 我们可以在标签内通过实...
计算机模拟考试.doc
07-18
计算机
《单片机原理与接口技术》--试卷A及参考答案.doc
07-18
单片机
艾意凯2023国际制药企业的中国市场机遇分析报告英文版.pdf
07-18
医疗行业研究报告
胰岛素行业深度报告国产替代开拓欧美市场国产胰岛素进入新阶段.pdf
07-18
胰岛素行业深度报告国产替代开拓欧美市场国产胰岛素进入新阶段
药物涂层球囊临床应用中国专家共识(第二版).pdf
最新发布
07-18
药物涂层球囊临床应用中国专家共识(第二版)
XSS攻击详解:跨站脚本危害与类型分析
1. XSS攻击的危害 - 用户账户被盗:攻击者可以获取用户的登录凭据,包括网站账户、银行账户等。 - 数据操控:攻击者可能篡改、添加或删除企业的重要数据,对企业造成经济损失。 - 商业秘密窃取:攻击者能非法获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值