什么是php跨站脚本,什么是跨站脚本(CSS/XSS)?

最新推荐文章于 2024-03-07 11:11:04 发布
最新推荐文章于 2024-03-07 11:11:04 发布
阅读量208 收藏
点赞数
文章标签: 什么是php跨站脚本

我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该

页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,

有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,这很容易让人困惑,

如果

你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。

XSS和脚本注射的区别?

原文里作者是和他一个朋友(b0iler)讨论后,才明白并非任何可利用脚本插入实现攻击的

漏洞都被称为XSS,还有另一种攻击方式:"Script Injection",他们的区别在以下两点:

1.(Script Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如

:sql injection,XPath injection.

2.跨站脚本是临时的,执行后就消失了

什么类型的脚本可以被插入远程页面?

主流脚本包括以下几种:

HTML

JavaScript (本文讨论)

VBScript

ActiveX

Flash

是什么原因导致一个站点存在XSS的安全漏洞?

许多cgi/php脚本执行时,如果它发现客户提交的请求页面并不存在或其他类型的错误时,

出错信息会被打印到一个html文件,并将该错误页面发送给访问者。

例如: 404 - yourfile.html Not Found!

我们一般对这样的信息不会注意,但是现在要研究CSS漏洞的成因,我们还是仔细看一下。

例:www.somesite.tld/cgi-bin/program.cgi?page=downloads.html

该URL指向的连接是有效的,但是如果我们把后面的downloads.html替换成brainrawt_owns_

me.html

,一个包含404 - brainrawt_owns_me.html Not Found! 信息的页面将反馈给访问者的浏览

器。

考虑一下它是如何把我们的输入写到html文件里的?

OK,现在是我们检查XSS漏洞的时候了!

注意:下面仅仅是一个例子,该页面存在XSS漏洞,我们可以插入一写javascript代码到页面

里。当然方法很多

www.somesite.tld/cgi-bin/program.cgi?page=

ript>

当我们提交这个URL的时候,在我们的浏览器中弹出一个消息框,"XSS_Vuln_Testing"?

这个例子只是一个XSS漏洞的简单演示,并无实际意义,但足以说明问题所在。

下面我们分析一下造成该运行结果的原因,program.cgi对我们的输入没有经过有效过滤处理

就直接写入404 error页面中,结果创建了一个页面,如下:

404 - Not Found!

LosAngelic Reeds
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS跨站脚本攻击
01-27
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网没有对用户提交数据...
jQuery Mobile漏洞会有跨站脚本攻击风险
10-20
人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS
什么是跨站脚本 (XSS)?
allway2的博客
07-18 2839
在最初的日子里,它被称为CSS,但它并不完全是今天的样子。当时它被称为CSS跨站脚本)。当网在将其插入响应之前没有正确处理用户提供给它的输入时,就会出现XSSed的可能性。在这种情况下,可以提供精心制作的输入,当嵌入响应时充当JS代码块并由浏览器执行。跨站脚本(XSS)是Web应用程序中的一个漏洞,它允许第三方代表Web应用程序在用户的浏览器中执行脚本。,它的实例要么被反射,要么被存储。当用户提供的数据未经适当清理而提供给DOM对象时,就会出现基于DOM的XSS。...
XSS跨站脚本漏洞详解
m0_64583632的博客
02-01 705
xss跨站脚本攻击详解
什么是php跨站脚本,跨站脚本攻击是什么
weixin_26808439的博客
03-20 391
跨站脚本攻击也称为XSS,是指利用网漏洞从用户那里恶意盗取信息。跨站脚本攻击分为三类,分别是:1、持久型跨站;2、非持久型跨站;3、DOM跨站。其中,持久型跨站是最直接的危害类型。定义:跨站脚本攻击(也称为XSS)是指利用网漏洞从用户那里恶意盗取信息。类型:(1)持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据库)。(2)非持久型跨站:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-...
跨站脚本攻击 (XSS)和SQL注入漏洞php排查解决方案
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
09-12 1685
漏刻有时采用PHP-MVC结构,在参数传递过程中,已做参数过滤。在实际进行脚本攻击的时候会使用。
什么是xss攻击?如何防范?
rao1255165570的博客
11-21 1754
什么是xss攻击?如何防范?      XSS 又称 CSS,全称 Cross SiteScript(跨站脚本攻击), XSS 攻击类似于 SQL 注入攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式。其原理是攻击者向有 XSS 漏洞的网中输入(传入)恶意的 HTML 代码,当用 户浏览该网时,这段 HTML 代码会自动执行,从而达到攻击的目的。 1. ...
XSS 跨站脚本攻击 的防御解决方案
03-26
XSS 跨站脚本攻击 的防御解决方案 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS
第09篇:跨站脚本XSS)备忘单-2019版1
08-03
跨站脚本XSS)是一种常见的网络安全漏洞,它允许攻击者通过注入恶意脚本到受害者的浏览器中,从而执行非授权的操作。这份2019年的XSS备忘单详细列出了多种攻击向量,涵盖了不同的事件处理、通信协议、特殊属性、...
CSRF / XSRF(跨站请求伪造),XSS/CSS跨站脚本攻击)
m0_59070120的博客
09-20 628
你可以这么理解 CSRF 攻击:攻击者盗用了你的身份,以你的名义进行恶意请求。它能做的事情有很多包括:以你的名义发送邮件、发信息、盗取账号、购买商品、虚拟货币转账等。* 4、危险网中存在恶意代码,代码为发送一个恶意请求(举例:购买商品/余额转账)* 2、登录成功后在浏览器产生信息存储(举例:cookie)* 6、淘宝验证请求为合法请求(区分不出是否是该用户发送)* 3、用户在没有登出淘宝的情况下,访问危险网。* 5、携带刚刚在浏览器产生的信息进行恶意请求。* 1、浏览并登录信任网(举例:淘宝)
浏览器原理 32 # 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
06-11 1868
说明 浏览器工作原理与实践专栏学习笔记 前言 支持页面中的第三方资源引用和 CORS 也带来了很多安全问题,其中最典型的就是 XSS 攻击。 什么是 XSS 攻击 XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。 恶意脚本能做的事情: 窃取 Cookie 信息 监听用户行为 修改 DOM 在页
关于防止 PHP 中的跨站脚本漏洞你需要知道的一切
allway2的博客
08-16 1015
HTML Purifier 没有尝试天真地搜索和替换用户输入字符串中的恶意片段,而是将整个字符串消化为 HTML 文档,将其分解为标记,并根据白名单和每个属性的 RFC 定义验证所有元素和属性。自动转义不仅使您的代码更易于阅读,而且还可以防止单个疏忽成为具有恶意负载的攻击者的入口点。“转义所有 HTML 实体”方法是安全的,并且非常适用于用户不应该提供自己的 HTML 标记的情况。在一个上下文中是安全的(例如允许使用 HTML)在其他上下文中可能是灾难性的(例如,我们处于 HTML 属性的中间)。...
跨站脚本说明
Y1ch0的专栏
12-01 1416
以前看过分析家写过一篇文章,介绍跨站脚本的安全隐患,当时只是知道有这样的问题,也没有仔细阅读,目前此类问题经常在一些安全点发布,偶刚好看到这样一篇文章,抱着知道总比不知道好的想法,翻译整理了一下,原文在偶主页的collection目录里,错误之处请多多指点。OK,go............什么是跨站脚本(CSS/XSS)?我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的
什么是跨站脚本 (XSS)? 类型、风险和预防
最新发布
weixin_56154577的博客
03-07 161
跨站脚本攻击是由于服务器或应用程序代码中的漏洞而发生的 Web 应用程序和 Web 服务器攻击。 它们特别危险,因为安全或开发团队很难发现 XSS 漏洞,而且在随后的漏洞顺利发生之前也很难看到攻击的影响。 为了防止 XSS 攻击,您的团队需要了解它们的样子以及您的系统是否容易受到它们的攻击.
PHP 安全漏洞:会话劫持、跨站脚本、SQL 注入以及如何修复它们
allway2的博客
08-01 1443
SQL注入是应用程序中的一个漏洞,它是由于程序员在将输入包含到数据库的查询中之前没有对其进行清理而导致的。通过这种类型的访问,攻击者可以做非常糟糕的事情。您使用的确切功能取决于您使用的数据库类型和php库,请查看php库的文档以获取有关转义用户输入的更多信息。如果您想更好地控制清理工作的方式,另一种选择是编写自己的HTML清理函数,不建议PHP初学者这样做,因为错误会使您的网易受攻击。会话劫持是由攻击者获得对用户会话标识符的访问权并能够使用另一个用户的帐户来冒充他们而导致的漏洞。...
什么是跨站脚本(CSS/XSS)?
icontent
08-06 406
转自:https://www.pinlue.com/article/2019/04/2400/218775911303.html
XSS简介
S1lenc3的博客
11-01 122
xss又叫css,为了与前端的css区别,所以叫xss,即跨站脚本攻击。 XSS原理解析 XSS攻击是在网页中嵌入客户端恶意脚本代码,恶意代码一般都是javascript编写的。想要深入研究XSS,必须精通javascript。 javascript可以获取用户的cookie、改变网页内容、URL跳转,所以,存在XSS漏洞的网,就可以盗取Cookie、黑掉页面、跳转到恶意网。 ...
php 跨站脚本攻击漏洞,PHP跨站脚本攻击(XSS)漏洞修复思路(二)
weixin_42300721的博客
03-10 653
上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。从上一篇文章看出,部署了360出的XSS修复插件之后,至少还存在iframe无法过滤缺憾,是否还有其他纰漏目前还不得而知。分析一下中国博客联盟和张戈博客已开放的数据入口:①、中国博客联盟,主要有搜索、后台博客提交等;②、张戈博客(WordP...
PHP如何防止XSS攻击
weixin_30411819的博客
05-17 591
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函...
跨站脚本攻击(XSS
06-08
跨站脚本攻击(Cross-Site Scripting,简称 XSS)是一种常见的网络安全漏洞,攻击者利用输入输出不当的漏洞,将恶意脚本注入到网页中,使得用户在访问网页时受到攻击。 XSS 攻击通常分为三种类型:反射型、存储型和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值