XSS的原理分析、反射型XSS

最新推荐文章于 2024-05-12 11:59:37 发布
最新推荐文章于 2024-05-12 11:59:37 发布
阅读量2.3k 收藏 2
点赞数 1
分类专栏: Web安全 信息安全 文章标签: 安全 linux javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41487522/article/details/105960666
版权

XSS的原理分析

XSS的原理和特性
XSS可以理解为html代码的注入。
这里简单回顾一下注入:
注入的两个关键条件:
1.用户输入能够控制输入
2.原本程序要执行的代码,拼接了用户输入的数据

这里XSS拼接的就是网页的html代码,一般而言我们是可以拼接出合适的html代码去执行恶意的JS语句。
因为达到各种各样的效果需要比较复杂的代码,所以XSS平台应运而生:
xsspt.com(开放注册)
xss9.com (需要邀请码)
xss平台大大方便了xss攻击,只需要引入一个平台外部链接就可以实现功能了。

XSS能做什么?
1.盗取Cookie(用的很频繁)
2.获取内网ip
3.获取浏览器保存的明文密码
4.截取网页屏幕
5.网页上的键盘记录

XSS一般在什么业务场景容易遇见?
重灾区:评论区、留言区、个人信息、订单信息等
针对型:站内信、网页即时通讯、私信、意见反馈
存在风险:搜索框、当前目录、图片属性等

XSS的类型
反射型XSS:提交的数据成功的实现了XSS,但是仅仅是对你这次访问产生了影响,是非持久型攻击。
存储型XSS:提交的数据成功的实现了XSS,存入了数据库,别人访问这个页面的时候就会自动触发,属于持久型。
DOM型XSS:利用DOM对象触发的XSS。

怎么检测是否存在XSS?
一般情况是想办法让浏览器

最低0.47元/天 解锁文章
凌晨三点-
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全XSS攻击原理及防范
weixin_43964148的博客
06-22 2718
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nHwrCkXL-1592795850369)(https://static01.imgkr.com/temp/e31bf9555c2e44eeb535ca5ad63dda63.png)] 一:什么是XSS攻击? XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面
一次简单的反射XSS操作及思路
qq_42097777的博客
04-04 3012
xss是类似对html代码的注入,拼接恶意代码获取cookie等 分为三种类,分别是反射、存储和dom 反射是不存入数据库,对自己有影响 存储是存入数据库,对来访者都有影响 1.进入靶场看到输入框,进行插入js标签 输入框里输入:< script>alert(1)</ script > 点击搜索 语句没有执行,而是被当做文本搜索了,这显然不是我们想看到的,点...
反射xss实战演示
huli870715的专栏
02-26 1万+
我们知道,XSS攻击大致分为三种类 :Persistent(持久),Non-persistent(反射)及Dom-based。而反射是最常用,也是使用得最广的一种攻击方式。它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。     今天,通过一个反射xss的实战演示
DVWA-XSS (Reflected)-反射XSS
最新发布
2401_84968222的博客
05-12 884
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
一个反射XSS例子的解析
交换一个思想,能得到俩思想
12-17 3万+
我们在访问一个网页的时候,在URL后面加上参数,服务器根据请求的参数值构造不同的HTML返回。 如http://localhost:8080/prjWebSec/xss/reflectedXSS.jsp?param=value... 上例中的value可能出现在返回的HTML(可能是JS,HTML某元素的内容或者属性)中, 如果将value改成可以在浏览器中被解释执行的东西,就形成了反射X
XSS漏洞及其原理(详解)
刘桂香263的博客
07-29 1万+
XSS被称为跨站脚本攻击(CrossSiteScripting),由于和层叠样式表(CascadingStyleSheets,CSS)重名,改为XSS。主要基于JavaScript语言进行恶意攻击,因为js非常灵活操作html、css、浏览器。
XSS原理分析与解剖
Mr.Huang_的博客
09-13 215
一、XSS原理和特性 SQL注入 => 用户输入的数据被当做SQL代码执行 XSS => 用户输出的数据被当做前端代码执行 前端代码有哪些:构建网页的页面 HTML CSS JS(Javascript) HTML:构成网页的基础和骨架 CSS:美丽的化妆师(美化页面) Javascript:可以操纵浏览器/动画 核心是执行JS代码 XSS:偷取用户的身份凭证(Cookie) document.cookie 获取网页当前Cookie 读取Cookie将Cookie发送出去成了一
反射xss攻击流量数据包
07-18
反射xss攻击流量数据包
XSS反射步骤1
08-08
XSS反射步骤1
网络安全原理与应用:反射XSS攻击演示.pptx
05-16
反射XSS攻击演示;;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;反射XSS攻击演示;...
反射xss攻击代码.rar
05-14
**一、反射XSS攻击原理** 1. **攻击过程**:攻击者构造一个包含了恶意脚本的URL,并通过电子邮件、聊天工具或论坛等途径诱骗用户点击。当用户点击这个链接时,浏览器会向服务器发送包含恶意脚本的请求,服务器未...
xss基本原理分析
03-17
XSS攻击主要有三种类反射XSS、存储XSS和DOMXSS。 1. **反射XSS** 反射XSS也称为非持久性XSS,是通过诱使用户点击包含恶意脚本的链接来触发的。攻击者通常会构造一个带有恶意脚本的URL,并通过电子...
XSS跨站脚本攻击
qq_42253044的博客
01-03 366
XSS跨站脚本攻击 XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储XSS反射XSS。 DOMXSS由于其特殊性,...
浅谈反射XSS的利用
weixin_34258838的博客
01-23 715
|=---------------------------------------------------------------------------=| |=-------------------------=[ 浅谈反射XSS的利用 ]=-------------------------=| |=-------------------------------...
反射XSS的利用
single_g_l的博客
04-26 2364
目录 1、原理 2、特点 3、窃取cookie 4、利用 5、防御 1、原理 网站对用户输入的数据未做有效的过滤,攻击者可以将恶意代码脚本注入网站的页面中,达到执行恶意代码的目的。即用户输入的恶意代码,被执行。 2、特点 反射xss是通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。 3、窃取cookie 为了识别用户身份和保存会话功能,服务器允许用户的JS访问 所以会
XSS跨站脚本攻击(一)----XSS攻击的三种类
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
XSS攻击
qq_51003021的博客
08-19 735
XSS全称叫做跨站脚本攻击(cross site script)的缩写,因为缩写和CSS重复,所以叫XSSXSS攻击时一个发生在前端的漏洞,是前端开发人员前端开发不严谨导致的漏洞。它的核心就是前端可以解析用户的输入为dom组件,所以用户可以输入一段JavaScript代码来对网站进行一些恶意修改。XSS的危害一般对一些访问量比较大的网站大,因为XSS并不会破坏网站,而是会对网站进行恶意修改,影响网站的用户,从而窃取信息甚至控制用户。
XSS原理
qq_1062290728的博客
11-22 247
本文参考书目<web安全攻防:渗透测试实战指南> 有pdf,若想认真学习请支持正版买本纸质的 介绍 跨站脚本攻击( Cross - Site Scripting,简称为xss)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。 简单地说,就是能将代码添加到js中,在你访问页面的时候或者在这个页面执行相关操作的时候,执行这段js代码。 最简单的危害就是将本地cookie或其他...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值