【信安笔记四】XSS跨站

最新推荐文章于 2024-07-12 19:20:52 发布
最新推荐文章于 2024-07-12 19:20:52 发布
阅读量94 收藏
点赞数
文章标签: xss php 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43374106/article/details/124948788
版权
个人学习参考用笔记目录前言一、XSS原理(一)原理(二)危害二、XSS分类(一)反射型(二)存储型(三)DOM型前言XSS Cross Site Script 跨站脚本属于前端漏洞,执行的是JS代码一、XSS原理(一)原理XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTM.
摘要由CSDN通过智能技术生成

个人学习参考用笔记

目录

前言

XSS Cross Site Script 跨站脚本
属于前端漏洞,执行的是JS代码

一、XSS原理

(一)原理

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容

(二)危害

*浏览器内核版本也会影响到js代码的实现

  1. 盗用cookie,获取敏感信息。
  2. 利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
  3. 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的操作如发微博、加好友、发私信等操作。
  4. 利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
  5. 在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDOS攻击的效果。

二、XSS分类

最低0.47元/天 解锁文章
Nana明
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web安全攻防渗透测试笔记 (信安一班 李静)
m0_67855254的博客
04-07 1826
第三章sqlmap (1) 安装sqlmap前,需要先安装Python3.X Python Releases for Windows | Python.org (2) 在环境变量path中,增python3.x 安装路径 (3) 下载sqlmap并解压缩: 地址:sqlmap: automatic SQL injection and database takeover tool Python sqlmap.py -uhttp://xxx.xxx.xxx/ Py...
全套包机搭建教程附带脚本
04-01
全套包机搭建教程附带脚本 这个是别人分享的,与本人无关。
蒟蒻信安笔记3:XSS与SQL注入
SilentNumen的博客
12-18 192
一、XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。 角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建) 攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站); 被攻击者:访问留言簿网站,浏览器被劫持。 1、 利用AWVS扫描留言簿网站(安装见参考文档0.AWVS安装与使用.docx),现其存在XSS漏洞。 2、 Kali使用beef生成恶意代码,截图。 打开kali的浏览器,输入网址进入此界面 登陆后访问hook.js,
信安小白,一篇博文讲明白存储型、反射型XSS漏洞
.G();的博客
10-24 3337
靶机系统:win7 存储型、反射型XSS漏洞一、DVWA 靶机二、XSS1. 判断是否存在XSS漏洞2. XSS攻击窃取cookie2.1 cookie为什么产生?2.2 cookie作用机制2.3 存储型XSS攻击窃取cookie2.4 中级存储型XSS攻击(防御代码)3. 反射型XSS漏洞3.1 反射型XSS漏洞实验3.2 中级、高级反射型XSS攻击3.2.1 中级反射型XSS攻击防御与绕过3.2.2 高级级反射型XSS攻击防御与绕过3.3 总结4. 提出防御方案 一、DVWA 靶机   旨在为安全
信安学习笔记五】CSRF&SSRF
weixin_43374106的博客
08-09 178
个人学习参考用笔记 目录前言一、CSRF&SSRF(一)CSRF(二)SSRF二、RCE 代码执行&命令执行(一)代码执行(二)命令执行 前言 一、CSRF&SSRF (一)CSRF 【仅在小型网站可能有】 跨站请求伪造(Cross-site request forgery)CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。当用户访问含有恶意代码的网页时,会向指定正常网站送非本人意愿的数据请求包(如转账给hack,向hack送API等)如果此.
信息安全笔记 第二章 系统攻击技术
qq_45738761的博客
05-06 427
跨站脚本攻击(XSS)是一种针对动态脚本网站的攻击,目的是盗窃管理员的 session(存储在服务器)和coockies(存储在客户端)。引导型病毒:计算机启动需要一个系统引导区,病毒占用该区域,并将原本该区域的代码移到其他位置。前者是自启动的配置文件,会启动后者,后者起到病毒的效果。消息会在网络中传播,给所有声明自己是D的主机。查看宏的存储位置,如果在本机文档是好的宏,如果在公用模板normal.dot大概率是宏病毒。木马的分类:TCP木马(最早出现的木马),UDP木马,ICMP木马(能穿透防火墙)
前端Hack之XSS攻击个人学习笔记
weixin_30413739的博客
03-22 300
简单概述 ** 此篇系本人两周来学习XSS的一份个人总结,实质上应该是一份笔记,方便自己日后重新回来复习,文中涉及到的文章我都会在末尾尽可能地添上,此次总结是我在学习过程中所写,如有任何错误,敬请各位读者斧正。其中有许多内容属于相关书籍、文章的部分摘取,如有侵权,请联系我修改。(asp-php#foxmail.com) ** 1) 什么是XSS? XSS(Cros...
XSS靶场(haozi.me)
weixin_52240463的博客
08-15 674
一边看题解一边打了一个下午终于通关 小rookie一个比较菜 很多不会的地方查了很多资料 可能有部分思路和别的地方又雷同 各位姥爷看看就好 目录 0x00 送分题啥过滤没有​ 0x01​textarea 字面意思是文本域 类似text类型 不能触xss 需要闭合 0x02 0x03 0x04​ 0x05 0x06 0x07 0x08 0x09 0x0a 0x0b 0x0c 0x0d 0x0e 0x0f 0x10 送分题啥过滤没有 0x01tex...
信息安全学习笔记(计算机三级)
qq_45418203的博客
02-17 938
本文章根据B站视频【【杨冬信安】2023年软考信息安全工程师必考知识点(每日1背)】 https://www.bilibili.com/video/BV1VS4y127Hc/?share_source=copy_web&vd_source=cfaee2d6b4ce1389cc9a101338395e4d进行学习而产生的笔记,虽然是软考必背,但其实我考的是计算机三级信息安全技术。考过了准备把笔记出来,下面有些知识点是“未来教育”题库里面记下的。如有不对,欢迎各位大佬指正。
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本攻击
02-25
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
XSS跨站攻击课程.pdf
01-25
XSS跨站攻击课程
信安之路 CTF初识与深入
xuchen16的博客
09-19 1657
转自:http://myh0st.cn/index.php/archives/40/   感谢公众号:信安之路myh0st 授权布,这个公众号的文章坚持技术分享,推荐大家一下哦! 感受:坚持学习+技术实践总能找到自己的路! 这段时间一直在忙活CTF相关的东西,从参赛者到出题人,刷过一些题,也初步了解了出题人的逻辑;这篇文章就简单地讲一下CTF如何入门以及如何深入的学习、利用CTF这个训...
XSS: 原理 反射型实例[入门]
最新发布
h1008685的博客
07-12 303
xss原理,结合实例讲解
XSS平台的搭建
weixin_42515203的博客
07-07 372
XSS平台的搭建
Laravel Excel导出功能:高效实现数据导出
liuxin33445566的博客
07-08 1170
Laravel Excel导出功能允许开者将查询结果或其他数据集合转换成Excel格式的文件。这不仅可以提高数据交换的效率,还可以提升用户体验。Laravel Excel支持自定义导出格式,包括自定义单元格样式、合并单元格、添图片等。这可以通过实现WithEvents等接口来实现。
数据结构第14节 权图
hummhumm的专栏
07-07 1341
( V ) 是顶点的集合。( E ) 是边的集合,每条边连接 ( V ) 中的一对顶点。( W ) 是一个函数,将每条边映射到一个实数上,即 ( W: E \rightarrow \mathbb{R} )。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值