WEB安全-跨站脚本攻击XSS

最新推荐文章于 2023-11-19 19:46:10 发布
最新推荐文章于 2023-11-19 19:46:10 发布
阅读量170 收藏 1
点赞数
分类专栏: web安全 渗透测试 burpsuite 文章标签: 安全漏洞 网络安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42277652/article/details/120186126
版权
本文介绍了XSS(跨站脚本攻击)的三种类型:反射型、存储型和DOM型,详细阐述了XSS的危害,如盗取Cookie和执行恶意JavaScript。反射型XSS的特点是非持久化,通过诱使用户点击特殊链接来触发。防御措施包括不点击不明链接。文章还提供了反射型XSS的实例和防御建议,并推荐使用安全工具进行练习。
摘要由CSDN通过智能技术生成

XSS(跨站脚本攻击)

定义

浏览器将用户输入的内容,当做脚本执行,执行了恶意的功能,这种针对用户浏览器的攻击即跨站脚本攻击。

类型

主要分为三种类型:

  • 反射型

  • 存储型

  • DOM 型

XSS 危害

  • 盗取 Cookie
  • 盗取账户
  • 恶意软件下载
  • 键盘记录
  • 广告引流等等 JavaScript 能够写出的任意恶意功能

反射型 XSS

应用程序或 API 包括未经验证或未经转义的用户输入, 直接作为HTML 输出的一部分。一个成功的攻击可以让攻击者在受害者的浏览器中执行任意的 HTML 和 JavaScript 。

特点:非持久化,必须用户点击带有特定参数的链接才能引起。

影响范围:仅执行脚本的用户。

示例

SkyMacBookPro:~ demon$ docker run -d -p 0.0.0.0:8901:80 raesene/bwapp

<script>alert("hello world")</script>

image-20210816101253902

image-20210816102801637

<script>alert("点击此处修复");location.href="http://ceshis.com"</script>

image-20210816101616134

image-20210816103104373

<script>alert(document.cookie)</script>

image-20210816101711093

长网址缩短 (https://www.ft12.com)

http://192.168.43.120:8901/xss_get.php?firstname=%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&lastname=1&form=submit

image-20210816103631157

http://33h.co/wr3wj

image-20210816103718366

image-20210816103859911

image-20210816105505263

image-20210816112127046

/><img src=111.png onerror=alert(document.cookie)>

image-20210816112516272

防御措施

反射型 XSS 的限制与防御,危害范围相对较小,多为一次点击触发一次,对陌生的链接,不要随意点开。

练习

对于 bWAPP 的不同类型反射型 XSS 漏洞练习。

卫恪游
关注
专栏目录
web渗透--20--跨站脚本攻击XSS
武天旭的博客
09-15 5562
1、漏洞名称 存储型XSS跨站脚本,反射型XSS跨站脚本 2、漏洞描述 跨站脚本攻击的英文全称是Cross Site Script,为了和样式表区分,缩写为XSS。发生的原因是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行跨站脚本攻击它指的是恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页之时,嵌入其中Web里面的JavaScript代...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
Web渗透测试中使用跨站脚本攻击客户端
m0_74179118的博客
11-19 209
web渗透的学习中我深刻的认识到网络安全的重要性,并且知道想要更好的维护网络安全必须要知道黑客等是用什么攻击手段,正所谓知己知彼才能百战不殆。并且知道怎样运用好相关的工具强大的功能以及方法。网络安全的重要性无法被夸大。随着当今社会的数字化和互联互通,我们越来越依赖于互联网和网络技术。然而,同时也面临着各种网络威胁和风险。所以要从各个方面来了解以及保护网络,让我们的隐私受到更好的保护。
web客户端安全跨站脚本攻击
weixin_30361753的博客
10-31 124
跨站脚本攻击,Cross-site script,是Web程序中最常见的漏洞。为了和CSS层叠样式表区分开,所以取名为 XSS。 一、XSS的重点 跨域和客户端执行。 二、XSS的原理 攻击者向有XSS漏洞的网站中输入恶意的html或js代码,当其它用户浏览该网站时,html或js代码会自动执行,从而达到攻击的目的。 三、XSS的分类 1、存储型,持久型 在客户端文本框输入某脚本代码...
Web攻防系列教程之跨站脚本攻击和防范技巧详解
ccx_john的专栏
12-07 1475
XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。 跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影
Web安全跨站脚本攻击漏洞
qq_52358808的博客
09-25 1076
跨站脚本(XSS)漏洞 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS 。恶意攻击者往 Web ⻚⾯⾥插⼊恶意 JavaScript代码,当⽤户浏览该⻚之时,嵌⼊ Web ⻚⾯⾥的代码会被执⾏,从⽽达到恶意攻击⽤户的⽬的。 常见类型 反射性XSS:payload经过后端,不经过数据库 存储型XSS:payload经过后端,经过数据库 DOM型XSS:payload不经过后端..
web安全技术-实验七、跨站脚本攻击xss)(反射型).doc
08-20
跨站脚本攻击XSS)概述】 XSS,全称Cross Site Scripting,是一种常见的Web应用程序安全漏洞攻击者利用此漏洞向网页中注入恶意脚本,当其他用户浏览该页面时,这些脚本会被执行,从而可能窃取用户的敏感信息...
网络攻防-XSS跨站脚本攻击详解及其防范
最新发布
10-31
内容概要:本文详细阐述了跨站脚本XSS攻击的基本原理、攻击类型、可能引发的危害以及防范措施。首先介绍了XSS的概念及原理,包括恶意脚本是如何利用网页漏洞在用户浏览器中运行的。接着解释了三种主要的XSS攻击...
XSS跨站脚本攻击
01-27
跨站脚本攻击XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
什么是跨站脚本XSS攻击
04-27
不同于SQL注入以Web服务器为目标的攻击方式,跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。
跨站脚本攻击
qq_39249347的博客
07-11 1399
跨站脚本攻击 跨站脚本攻击是一种代码注入攻击,这种攻击通常涉及三个实体:攻击者、被攻击用户和目标网站。 一般而言,攻击者必须找到将自己的恶意代码经由目标网站注入目标浏览器的方法,这类攻击被称为跨站脚本攻击攻击者有两种典型的方法通过目标网站将它们的代码注入目标用户的浏览器中:一种称为反射型XSS,另一种称为存储型XSS。 反射型XSS: 许多网站都有反射行为,也就说它们从用户那里接受输入,执行一些操作,然后向用户发送响应网页,用户的输入也被包含在响应网页里。 攻击者可以在输入中混入Javascrip
web安全XSS攻击跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 5218
XSS攻击跨站脚本攻击)是一种常见的Web安全漏洞攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全
web安全第八天:跨站脚本攻击
cc777777777的博客
03-01 1141
跨站脚本攻击
WEB漏洞篇——跨站脚本攻击XSS
m0_56634355的博客
06-05 4774
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
Web安全XSS跨站脚本攻击
brizer的博客
08-26 6650
本文主要选择常见web攻击手段之一的XSS跨站脚本攻击)来进行讲解,说明其攻击原理,并提出相应的解决办法。XSSXSS 攻击,全称是“跨站脚本攻击”(Cross Site Scripting),之所以缩写为 XSS,主要是为了和“层叠样式表”(Cascading Style Sheets,CSS)区别开,以免混淆。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代
跨站脚本攻击深入解析之:漏洞利用过程
blackbean的专栏
03-09 909
跨站脚本的名称源自于这样一个事实,即一个Web站点(或者人)可以把他们的选择的代码越过安全边界线注射到另一个不同的、有漏洞的Web 站点中。当这些注入的代码作为目标站点的代码在受害者的浏览器中执行时,攻击者就能窃取相应的敏感数据,并强迫用户做一些用户非本意的事情。  在本文的上篇中,我们详细介绍了当前Web应用所采取的安全措施,如同源策略、cookie安全模型以及Flash的安全模型;
Web安全跨站脚本攻击XSS
weixin_34293246的博客
08-01 251
什么是XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击场景 ...
Java开发中防范XSS跨站脚本攻击策略
"XSS跨站脚本攻击在Java开发中防范的方法" XSS(Cross-Site Scripting)攻击Web应用程序普遍面临的一种安全威胁。它允许攻击者在受害者的浏览器中执行恶意脚本,通常通过注入恶意代码到合法的网页中实现。在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值