xxs漏洞危害_八大常见web漏洞及其危害

最新推荐文章于 2024-05-07 17:41:30 发布
最新推荐文章于 2024-05-07 17:41:30 发布
阅读量2.2k 收藏 3
点赞数
文章标签: xxs漏洞危害
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42546392/article/details/111972207
版权

摘要:1、跨站攻击 漏洞描述 跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的

1、跨站攻击

漏洞描述

跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃会话COOKIE从而窃取网站用户的隐私,包括密码。

XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的危害。

漏洞危害

①钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。

②网站挂马:跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。

③身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发巨大的危害。

④盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份使,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。

⑤垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

⑥劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。

⑦XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。

2、CRLF攻击

漏洞描述

HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。

HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。

如果用户输入的值部分注入了CRLF字符,它有可能改变的HTTP报头结构。

漏洞危害

攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。

3、SQL注入攻击

漏洞描述

SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。 在设计不良的程序当中,忽略了对输入字符串中夹带的SQL指令的检查,那么这些夹带进去的指令就会被数据库误认为是正常的SQL指令而运行, 从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

漏洞危害

①机密数据被窃取

②核心业务数据被篡改

③网页被篡改

⑤数据库所在服务器被攻击变为傀儡主机,甚至企业网被入侵。

4、写入webshell攻击

漏洞描述

写入webshell攻击,是指WAF检测到攻击者正在往用户网站写入网页木马,企图控制服务器。

漏洞危害

攻击者可以在用户网站上写入一个web木马后门,用于操作用户网站上的文件,执行命令等等。

5、本地文件包含

漏洞描述

本地文件包含是指程序代码在处理包含文件的时候没有严格控制。

利用这个漏洞,攻击者可以先把上传的静态文件,或网站日志文件作为代码执行,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。

漏洞危害

攻击着可以利用该漏洞,在服务器上执行命令。

6、远程文件包含

漏洞描述

远程文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。

漏洞危害

攻击着可以利用该漏洞,在服务器上执行命令。

7、远程代码执行

漏洞描述

代码注入是指由于服务端代码漏洞导致恶意用户输入在服务端被执行的一种高危安全漏洞。

漏洞危害

利用该漏洞,可以在服务器上执行攻击者拼装的代码。

8、FastCGI攻击

漏洞描述

Nginx中存在一个较为严重的安全问题,FastCGI模块默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析。

漏洞危害

这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的Nginx服务器。

夏天的柯比
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全漏洞XSS攻击方法详解
01-26
XSS(跨站脚本攻击)是网络安全领域中一种常见的攻击手段,主要针对Web应用程序。攻击者通过在网页中注入恶意脚本,当用户访问含有这些脚本的页面时,脚本会在用户的浏览器中执行,进而对用户进行攻击。XSS攻击的...
漏洞扫描的原理与设计的研究
11-11
4. 结果报告:漏洞扫描器将扫描结果整理并生成相应的报告,报告通常列出找到的漏洞及其严重程度,并提供详细的推荐修复措施。 二、漏洞扫描的设计 漏洞扫描的设计需要考虑多个方面,包括目标选择、扫描策略、漏洞...
XSS漏洞原理详解丨小白WEB安全入门
jennycisp的博客
06-27 2043
XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。
Web的基本漏洞--XSS漏洞
尽欢的博客
05-31 3349
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
【XSS漏洞-01】XSS漏洞简介、危害与分类及验证
最新发布
喜欢Python编程的程序员柚柚呀
05-07 1007
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS漏洞原理、分类、危害及防御
sherlyn的博客
02-06 3万+
一、XSS原理 XSS全称:跨站脚本(Cross Site Scripting) ,为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS;攻击者会向web页面(input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的。 通过存在漏洞WEB站点,向客户端交付恶意脚本代码,从而实现对客户端的攻击目的。 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdo
Discuz XSS得webshell
weixin_33872660的博客
08-05 317
By racle @tian6.com欢迎转帖.但请保留版权信息.受影响版本:Discuz<6.1.0,gbk+utf+big53天前有朋友在论坛问过,说Discuz有个非论坛创始人获得WEBSHELL的漏洞,是superhei早前发出来的一大堆DISCUZ漏洞之一.见原帖:http://bbs.tian6.com/redirect.php?goto=findpost&pid=547...
XSS漏洞
niqiu320的博客
04-22 966
xss漏洞介绍和分类 什么是XSS? XSS(Cross SiteScripting)跨站脚本,较合适的方式应该叫做跨站脚本攻击,诞生于1996年,人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 xss分类: 反射型(非持久型): 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发漏洞。 存储型(持久性): payload被存储到数据库
通过代码审计找出网站中的XSS漏洞实战
01-27
XSS(Cross-site scripting)是一种常见的网络安全漏洞,允许攻击者在用户浏览器中注入恶意脚本,从而窃取敏感信息或执行其他恶意行为。针对XSS漏洞的检测,一种有效的方法是进行代码审计。本文将详细介绍如何通过...
漏洞利用与防护.docx
12-03
DVWA漏洞环境搭建、SQL注入平台搭建、xxs测试平台搭建
网银漏洞修复汇总
07-12
二、 网银常见漏洞 2.1 图形验证码 图形验证码是一种常见的验证码,恶意攻击者可以通过破解验证码来控制用户的账户。为了防止图形验证码漏洞,我们可以使用复杂的验证码生成算法和验证码过期机制等方法来确保用户...
Redis 未授权访问 写入webshell记录
qq_38053759的博客
04-08 859
Redis 未授权访问 写入webshell记录 准备环境: win10(192.168.39.52): 小皮面板(redis) kali(192.168.39.191):redis 1.Redis安装 win10:安装小皮面板,利用小皮面板安装redis。软件管理》工具,点击安装即可。 点击redis设置,系统默认绑定IP为:127.0.0.1,改为0.0.0.0(默认绑定本地的话远程无法访问redis,故设置为0.0.0.0,即所有IP均可访问) 配置完成到首页启动redis即可.
XSS漏洞危害及利用方式
weixin_41705627的博客
02-06 1483
定义:XSS漏洞就是攻击者往web页面插入恶意的js代码,当用户浏览该页时,嵌入其中的js代码会被执行,从而达到恶意攻击用户的目的。 特点:XSS攻击主要是拿用户的权限,因此攻击前提是用户能正常登陆。 1 防御与绕过 1.1 函数 htmlspecialchars():是PHP的内置函数,可以将预定义的<>符号转化为html实体; 使用效果:无论在输入框中输入什么内容,都会被添加上""使其以字符串的形式存在和展示,让恶意代码无法生效。 绕过 如果被过滤的地方是表单,可以尝试表单的其他地.
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
漏洞危害之一
m0_60571990的博客
11-03 714
漏洞危害之一
XSS的危害
a_helloworlds的博客
04-09 1万+
1、对于那些半年没有更新的小企业网站来说,发生XSS漏洞几乎没有什么用 2、但是在各类的社交平台,邮件系统,开源流行的Web应用,BBS,微博等场景中,造成的杀伤力却十分强大。 3、劫持用户cookie是最常见的跨站攻击形式,通过在网页中写入并执行脚本执行文件(多数情况下是JavaScript脚本代码),劫持用户浏览器,将用户当前使用的sessionID信息发送至攻击者控制的网站或服务器中。 ...
漏洞利用的危害有哪些?
彭淦淦的博客
04-24 2701
漏洞是系统在设计时的不足,是黑客攻击计算机所利用的通道,所以如果扫描出了漏洞一定要补好,不然你的电脑很容易中毒。各种杀毒软件都有漏洞扫描。 系统漏洞分为很多等级,一般的说,回在微软的网站上定义为严重的都应该及时更新。比如ms06-040漏洞,可以远程获得你系统的权限,也就是说,如果你没有更新这个补丁的话,可能有些骇客利用这个漏洞来控制你的计算机。漏洞按危险等级可以划分为非常严重答——严重——一般—...
XSS攻击常识及常见的XSS攻击脚本汇总
热门推荐
qw_xingzhe的专栏
06-16 7万+
一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。二、XSS有什么危害?当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。关于XSS有关危害,我这里中罗列...
XSS跨站脚本攻击的原理和危害 及 如何防范XSS攻击
晓康的博客
08-14 2055
1.什么是 XSS? XSS(Cross Site Scripting), 跨站脚本攻击。因为CSS名字被层叠样式表给占用,所以就改成XSS。 恶意用户将代码植入到提供给其他用户使用的页面中,未经转义的恶意代码输出到其他用户的浏览器被执行。 用户浏览页面的时候嵌入页面中的脚本( js )会被执行,攻击用户。造成一些破坏,比如会盗取用户信息。 为什么能盗取用户信息? ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值