xss漏洞基础

最新推荐文章于 2024-06-11 19:45:00 发布
最新推荐文章于 2024-06-11 19:45:00 发布
阅读量406 收藏
点赞数 2
分类专栏: 笔记 xss 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42299610/article/details/104729396
版权

xss介绍
跨站脚本攻击一-XSS (Cross Site Script),指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。
攻击方式
XSS攻击的代码是javas代码
xss一般情况是植入到url或者web中的
xss的攻击目标是普通用户(不是服务器)
条件
(1)存在可以控制的输入点
(2)输入能返回带前端页面上,并被浏览器当成脚本语言解释执行
危害
Cookie窃取、会话劫持、键盘记录、客户端信息探查、网页挂马、XSS蠕虫
分类
1.反射型xss(Reflected)
用户输入的内容会直接传到网页的url,可输入<script>alert(document.cookie);</script>构造恶意url,是一种一次性攻击。
效果图

在这里插入图片描述
2.储存型xss(stored)
用户输入的恶意代码会存储到数据库中,当有用户访问时就会执行此代码。
效果图
在这里插入图片描述
在这里插入图片描述

3.DOM型xss
DOM型xss和反射型xss攻击过程相同,区别在于,反射型是将攻击脚本传给后台,由后台代码输出到网页上,而dom型构造的数据不经过后台,由前台js直接执行输出到页面上,不经过后台,更加隐蔽。
效果图

在这里插入图片描述

weixin_42299610
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS(跨站脚本攻击)详解
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
反射型XSS漏洞基础
Ethan024的博客
03-11 296
XSS漏洞基础(本文仅供技术学习与分享) 反射型XSS(GET)漏洞弹窗 实验准备: 皮卡丘靶场 实验步骤: 2. 确认页面是否存在XSS漏洞;在对应的输入点输入危险字符,包括’, ", <, >以及危险字符串等; 3. 确认输入后是否会被过滤,输出是否会被处理; 4. 这里输入<>后,发现输入的字符串未被过滤或转义: 5. 查看源码发现,发现我们输入的<>被输出在标签里面: 6. 因此我们可以推测,如果输入JavaScript代码,也不会被过滤。因此输入简单的
网络安全学习第8篇 - xss攻击(java实现反射型xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
一清道长的个人博客
05-14 3930
请依据课堂所讲解的关于XSS攻防的技术知识,结合你所学过的Web前端编程技术,自行设计一套XSS攻防流程。要求: 1、攻防技术的实现既要有深度也要有广度。 2、需要设计一个前端页面。 3、提交时请提交实验报告以及Web前端代码。 实验文件.rar (1)什么是xss? 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出...
XSS漏洞基础
m0_62092622的博客
01-22 2642
概念 XSS,跨站脚本攻击 (Cross Site Scripting),是一种经常出现在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括 HTML 代码和客户端脚本。 攻击者利用 XSS 漏洞旁路掉访问控制——例如同源策略 (same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的 phishing 攻击而变得广为人知。 对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的 “缓冲区溢出攻击 “,而 Jav
XSS漏洞基础分析(反射型)
m0_55017965的博客
03-05 5045
攻击方法: 1.在自己地浏览器上发现xss漏洞,产生恶意行为 2.将输入命令后的url复制 3.发给其他用户,产生相同的攻击效果 在网页html中,出现Javascript语句即出现xss漏洞 源码分析: 低级代码:PHP代码中对xss语句没有任何过滤,可直接输入<script>alert(1234)</script> 源码分析: 中级代码:PHP代码中对xss语句有大小写有过滤,当xss语句为小写时,代码不能执行,所以可以将代码改为大写: <sCri..
XSS漏洞基础学习
lin1993829770的博客
02-09 111
本文章介绍XSS基础原理,并且分析各个类型的特点和原理,靶场部分尚未完善,若内容有误,请各位在评论区指点
xss漏洞原理
现代鲁滨逊的博客
07-24 2225
XSSXSS原理简单介绍漏洞成因XSS分类1.反射型2.存储型3.DOM型XSS危害XSS构造及漏洞利用1.XSS过滤绕过利用<>标记HTML、JavaScript关闭标签利用HTML标签属性执行XSS空格回车Tab绕过过滤利用标签属性进行转码产生事件扰乱XSS过滤规则利用字符编码利用CSS跨站过滤2.其他XSS漏洞XSS防御输入过滤输出编码标签黑白名单过滤代码实体转义httponly防止cookie被盗取总结 参考: XSS跨站脚本攻击原理及代码攻防演示(一)(很大一部分从他那来的,如侵立删)
XSS漏洞基础入门
笑花大王
01-29 337
前言 XSS漏洞 Xss(Cross-Site Scripting)意为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS漏洞是一种在WEB应用中常见的安全漏洞,它孕育用户将恶意代码植入web页面,当其他用户访问此页面时,植入的恶意代码就会在其他用户的客户端中执行。 XSS漏洞的危害很多,可以通过XS...
学一点XSS漏洞基础
qq_42404383的博客
09-28 186
学一点XSS漏洞基础 反射型XSS 经过后端,不经过数据库 这种类型的XSS,需要攻击者提前构造一个恶意链接,来诱使客户点击,比如这样的一段链接: www.abc.com/?params=<script>alert('xss')</script> 存储型XSS 经过后端,经过数据库 这种类型的XSS,危害比前一种大得多。比如一个攻击者在论坛的楼层中包含了一段JavaScript代码,并且服务器没有正确进行过滤输出,那就会造成每次浏览这个页面的用户执行这段JavaScript代码。
007-Web安全基础3 - XSS漏洞.pptx
10-22
007-Web安全基础3 - XSS漏洞
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
10-18
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
xss注入讲解ppt.pptx
08-10
三种xss基础知识的讲解
XSS跨站脚本攻击剖析与防御.pdf
05-16
第4章 发掘XSS漏洞,着重以黑盒和白盒的角度介绍如何发掘XSS漏洞,以便帮助读者树立安全意识。第5章 XSS Worm,讲解了Web 2.0的最大威胁——跨站脚本蠕虫,剖析了Web 2.0相关概念和其核心技术,这些知识对于理解和...
csrf与xss差别 别在弄乱了 直接靶场实操pikachu的csrf题 token绕过可以吗???
helloKittywz的博客
06-09 1408
我们现在来说说这2个之间的关系,因为昨天的我也没有弄清楚这2者的关系,总感觉迷迷糊糊的。xss这个漏洞是大家并不怎么陌生,导致xss漏洞的产生是服务器没有对用户提交数据过滤不严格,导致浏览器把用户输入的当作js代码返回客户端进行执行,这样就导致了攻击。xss(跨站脚本攻击)可以说简单一点前端js代码可以干什么我们就可以干什么,我们可以获取到用户的cookie,获取键盘记录,钓鱼等等的操作我们来说说csrf这个漏洞csrf(跨站请求伪造)这个是利用用户的。
DOM型xss靶场实验
qq_64302290的博客
06-08 1092
DOM型xss可以使用js去控制标签中的内容。
反射型xss靶场练习
qq_64302290的博客
06-08 1188
反射型xss危害小,这里使用的xss靶场是常用的xss靶场:xss-labs。当我们完成弹窗后就通过该关卡,说该关卡存在xss的一个漏洞并且可以解析js代码。
laravel8使用中间件实现xss处理
janthinasnail的博客
06-06 442
2、编辑app/Http/Middleware/XSSClean.php文件。3、配置app/Http/Kernel.php文件。
33 _ 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
最新发布
qq_46143850的博客
06-11 814
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。
百度编辑器 xss漏洞修复
07-13
在这基础上,他们进行了代码审查和漏洞扫描,找出并修复了存在的XSS漏洞。 百度公司还为百度编辑器增加了一系列的安全措施,如输入过滤和输出编码等,以防止恶意脚本代码的注入。他们对用户输入的内容进行严格校验...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_42299610

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值