OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)

最新推荐文章于 2023-11-06 16:39:24 发布
最新推荐文章于 2023-11-06 16:39:24 发布
阅读量258 收藏 1
点赞数
分类专栏: OWASP TOP10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43125873/article/details/119712701
版权

OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)

文章目录

前言

Cross-Site Scripting (XSS) 即跨站域脚本攻击,XSS 是 OWASP Top 10 中第二个最普遍的问题,在所有应用程序的大约三分之二中都存在。

一、XSS是什么?

  • 反射型 (Reflected )XSS:应用程序或 API 包括未验证和未转义的用户输入作为 HTML 输出的一部分。一次成功的攻击可以让攻击者在受害者的浏览器中执行任意 HTML 和 JavaScript。通常,用户需要与一些指向攻击者控制的页面的恶意链接进行交互,例如恶意水坑网站、广告或类似内容。
  • 存储型(Stored )XSS:应用程序或 API 存储未经处理的用户输入,稍后由其他用户或管理员查看。存储型 XSS 通常被认为是高风险或严重风险。
  • DOM XSS:JavaScript 框架、单页应用程序和将攻击者可控制的数据动态包含到页面的 API 容易受到 DOM XSS 的攻击。理想情况下,应用程序不会将攻击者可控制的数据发送到不安全的 JavaScript API。
    典型的 XSS 攻击包括会话窃取、帐户接管、MFA 绕过、DOM 节点替换或篡改(例如木马登录面板)、针对用户浏览器的攻击(例如恶意软件下载、密钥记录)以及其他客户端攻击。

二、如何防御

防止 XSS 需要将不受信任的数据与浏览器内容分离。这可以通过以下方式实现:

  • 使用通过设计自动逃避 XSS 的框架,例如最新的 Ruby on Rails、React JS。了解每个框架的 XSS 保护的局限性,并适当处理未涵盖的用例
  • 根据 HTML 输出中的上下文(正文、属性、JavaScript、CSS 或 URL)转义不受信任的 HTTP 请求数据将解决反射型和存储型 XSS 漏洞
  • 在客户端修改浏览器文档时应用上下文敏感的编码会对抗 DOM XSS,可以将类似的上下文敏感转义

总结

OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)简单介绍,仅供参考,欢迎指正~~

仗剑浪迹天涯丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021 中文版V1.0.pdf 本资源为 OWASP-TOP10-2021 中文版V1.0.pdf,是一个关于 Web 应用程序安全的指南,旨在帮助开发者和安全专家识别和避免常见的安全风险。该资源涵盖了 OWASP-TOP10-2021 的项目介绍...
OWASP 之跨站脚本xss基础技能
wutiangui的博客
06-12 1389
简单来说DOM文档就是一份XML文档,当有了DOM标准之后,DOM便将前端html代码化为一个树状结构,方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式,且不需要经过服务端,所以DOM型xss在js前端自己就可以完成数据的输入输出,不与服务器产生交互,这样来说DOM型xss也可以理解为反射性xss。使别的用户访问都会执行相应的嵌入代码。攻击者将已经构造完成的恶意页面发送给用户,用户访问看似正常的页面后收到攻击,这类XSS通常无法直接在URL中看到恶意代码,具有较强的持久性和隐蔽性。
OWASP TOP 10-跨站脚本(XSS
最新发布
博客地址 www.sec0nd.top
11-06 424
再进入之前打开的BEEF界面,查询我们收到的cookie: 进入BEEF后我们先点击 Command Browser -> Commands -> 在Searche框输入cookie并回车 -> 进入新的页面后点击右下角Execute ->之后点击中间出现的记录 此时我们就可以在右侧看到我们收到的cookie了。当没有同源策略时,如果某个不知情的用户浏览到恶意网站,该网站上运行的脚本代码将在能够访问这名用户与该网站交互信息的同时,访问到该用户浏览器上打开的其他网站上的任何数据和功能。
OWASP TOP 10 之第二大漏洞----XSS(跨站脚本攻击)
qq_45926195的博客
09-28 392
目录 2.1原理 2.2什么是xss 2.3xss的危害 2.4xss分类 2.5xss绕过 2.6xss绕过htmlspecialchars()函数 2.7xss防范 2.8常用的工具 2.1原理 参数输入前未经过滤,输入后未经转义,攻击者的脚本输入后,在前端被浏览器当做有效代码解析执行,从而产生危害。 xss属于客户端攻击,受害者是用户 2.2什么是xss XSS全称(Cross Site Scripting)跨站脚本攻击,XSS属于客户端攻击,受害者最终是用户,但特别要注意的
OWASP A7 Identification and Authentication Failures(身份识别和身份验证错误)
震山的博客
10-09 725
要好好设置密码哟,尽量做到一网站一密码
OWASP Cross-Site Scripting (XSS) 思路笔记
isinstance的博客
02-17 1981
本此实践的WebGoat版本如下所示Phishing with XSSLesson Plan Title: Phishing with XSS(网络钓鱼与 XSS)这个看题目就知道要我们做什么了,主要就算通过XSS来让受害者输入自己的邮箱和密码来达到钓鱼的结果It is always a good practice to validate all input on the server side.
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP-TOP10-2021中文版V1.0发布 OWASP Top 10是开源网络应用安全项目,旨在帮助开发者和安全专业人士了解和防止常见的网络应用安全风险。2021年版OWASP Top 10发布,带来了许多变化和改进。本文将对OWASP Top 10的...
OWASP-TOP10-2021中文版V1.0
01-28
OWASP TOP 10 2021 中文版 V1.0 OWASP TOP 10 2021 中文版 V1.0 是一个全新的、使用新图形设计的项目,旨在提高 Web 应用程序的安全性。该项目提供了一个详细的清单,涵盖了当前最常见的十大安全风险,旨在帮助...
OWASP top10OWASP十大应用安全风险)之A7 跨站脚本(XSS
qq_39682037的博客
03-18 2420
跨站脚本(XSS) 跨站点脚本(XSS)是一个广泛存在的漏洞,会影响许多Web应用程序。XSS攻击包括将恶意的客户端脚本注入网站,并将该网站用作传播方法。 XSS背后的风险在于,它允许攻击者将内容注入网站并修改其显示方式,从而迫使受害者的浏览器在加载页面时执行攻击者提供的代码。 XSS存在于所有应用程序的三分之二中。 通常,XSS漏洞要求用户通过社交工程或通过访问特定页面来触发某种类型的交互。如果...
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
weixin_30344795的博客
09-18 2244
先来看几个出现安全问题的例子OWASP TOP10开发为什么要知道OWASP TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)TOP2-失效的身份认证和会话管理TOP2-举例TOP3-跨站TOP3-防范TOP3-复杂的 HTML 代码提交,如何处理?TOP4-不安全的...
OWASP TOP 10(二)XSS漏洞(概述、PoC、分类、构造、变形绕过、XSS-Filter、xsser、xsstrike)
Pluto.的博客
12-15 1538
文章目录OWASP Top 10XSS一、概述二、XSS危害三、XSS相关四、使用PoC代码简单验证XSS漏洞五、XSS分类1. 反射型XSS2. 存储型XSS3. DOM型XSS六、XSS的构造1. 利用<>构造HTML或JS标签2. 伪协议3. 事件驱动七、XSS的变形1. 大小写转换2. 引号的使用3. 利用左斜线代替空格4. 添加Tab或回车符5. 对标签属性值进行转码6. 拆分跨站7. 双写绕过XSS练习平台 OWASP Top 10 XSS 一、概述 XSS被称为跨站脚本攻击(Cro
OWASP Top 10--跨站脚本(XSS)》
ccAbner的博客
05-07 774
说明:本文章仅限于对跨站脚本漏洞的学习和了解        跨站脚本漏洞,即XSS发生在当应用程序发送给浏览器的页面中包含用户提供的数据,而这些数据没有经过适当的验证或转义(Escape)或没有使用安全的JavaScript API。1、定义        跨站脚本攻击(Cross Site Scripting),缩写为XSS(为了避免与样式CSS混淆,缩写为XSS),恶意攻击者往Web页面里插入...
OWASP top 10 (2017) 学习笔记--跨站脚本(XSS
01-16 174
A7:2017 跨站脚本(XSS) 漏洞描述: 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建HTML或JavaScript 的浏览器API 更新现有的网页时,就会出现XSS 缺陷。 漏洞影响: 常见危害为窃取凭证为主。该漏洞的危害性由JavaScript代码决定,可参见相关XSS平台或BEEF工具。 检测场景: 基于不同标签的检测命令: ...
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
小龙在线
03-30 6388
A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其...
OWASP top 10漏洞原理及防御(2017版官方)
热门推荐
wwl012345的博客
08-08 1万+
文章目录一、OWASP top 10简介二、OWASP top 10详解A1:2017-注入 一、OWASP top 10简介 1.OWASP介绍 OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有O...
Cross-site Scripting (XSS) 阅读笔记
weixin_34198881的博客
02-25 227
本文源自 https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29 通过阅读和翻译,并按照自己的理解,整理成如下文档。 概述 XSS攻击是一种注入, 通过这种攻击,恶意脚本被注入到被信任的网站里。 XSS攻击的表现是,攻击者使用web应用的缺陷,发送恶意代码到另外一个不同用户, 一般是以浏览器端脚本的形式发送。 这种使得...
网络攻击技术(二)——Cross-site scripting
weixin_34306593的博客
01-15 333
1.1.1 摘要       在本系列的第一篇博文中,我向大家介绍了SQL Injection常用的攻击和防范的技术。这个漏洞可以导致一些非常严重的后果,但幸运的是我们可以通过限制用户数据库的权限、使用参数化的SQL语句或使用ORM等技术来防范SQL Injection的发生,接来了要向大家介绍Cross-site scripting(XSS)。       定义:Cross-site scr...
OWASP TOP10-2021中文版更新解读:访问控制与加密风险升位
- **A06:2021-跨站脚本 (Cross-Site Scripting, XSS)**:XSS攻击仍然常见,可能导致用户浏览器执行恶意脚本。 - **A07:2021-安全配置错误 (Security Misconfiguration)**:包括默认密码、未打补丁的系统和不安全的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值