网络安全从入门到精通(第七章-1)XSS的原理分析与解剖

最新推荐文章于 2021-05-22 23:10:29 发布
最新推荐文章于 2021-05-22 23:10:29 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: 网安小白的成长路 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43970718/article/details/104201012
版权 
							XSS的原理分析与解剖
每日一句:
		世界上不存在学霸,只存在用不用心
本文内容:
			~XSS的原理与特性
			~反射型XSS及其实战注意

一、XSS的原理与特性

1,什么是XSS
	定义:
			个人理解:就是HTML代码注入
			注入攻击的本质,就是把用户输入的数据当作代码去执行
	拼接的什么:
			拼接的HTML代码,一般是JS语句
	XSS的危害:
			~盗取cookie		//主要
			~获取内网ip
			~获取浏览器保存的明文密码
			~截取网页屏幕
			~网页上的键盘记录
	XSS平台:
			为了方便利用各种复杂XSS语句,XSS平台应运诞生
					xsspt.com		//开放注册
					xss9.com		//需要邀请码
			XSS平台大大方便了XSS攻击,只需要引入一个平台外部链接就可以了实现功能了
			
2,类别
		~反射型
			一般危害不是太大,国内不是太重视。一般不点xss链接就没事
		~存储型
			一般发生在留言板,上传的恶意代码被存储在数据库中,日后只要有人访问,就会被攻击
		~dom型
			比较特别,日后细讲

3,如何检测存在
	一般是想办法让浏览弹窗一下,最经典的弹窗语句:
			<script>alert(1)</script>
		只要有弹窗,就证明有xss
4,xss的方式
	~正常在url中打入
	~使用伪协议
		伪协议:不同于因特网上真实存在的协议,如http://,https://,ftp://
				伪协议只有在特定环境下才可以执行(关联应用中使用),
				比如:php:// tencent://(关联QQ)
		经典代码:
				<a href=javascript:alert(1)>test</a>
	~利用事件
		理解:当满足某种条件时,就执行
		例如:<img src='suibian.jpg' onerror=alert(1)/>
				上述语句就是,先加载suibian.jpg图片,如果没成功,就弹个“1”
	
注意:html事件,可以直接百度,有很多很多事件

二、反射型XSS实战注意

1,XSS != js注入
	Xss攻击手段很多,不能盲目的把XSS当作JS注入。
	XSS应该是包括js注入

2,xss打的实际上是浏览器

3,cookie是存在浏览器中的
4,漏洞:会对用户造成影响的bug
5,短链接欺骗
	常常反射型xss链接很长,人们不会能傻去点击,这时候直接百度“短链接生成”,
	变成短链接就可以更好的欺骗
8,找反射型xss,尽量不要用谷歌浏览器
		浏览器在长期的更新中,有了安全意识,你一个xss代码打进去,
		就被谷歌浏览器拦截了,所以建议使用火狐浏览器测试

9,提供几个常用事件型代码
	' oninput=alert(1) //		//在输入框输入东西被弹出,后边的“//”是注释
	
	' onfocus=alert(1) //		//有人点击输入框就弹窗
	
	' onfocus=alert(1) autofocus//		//自动检测输入框进行弹窗
划水的小白白
关注
专栏目录
XSS教程
PKsoft
12-19 627
录了一个XSS教程给某学生,完事了,钱也收到了,录相共享吧。 现在很多平台的后台被入侵,资料被 盗就是这原因。 录相下载地址: https://download.csdn.net/download/qq240263894/12038963 录相中文本内容: 1:首先要了解网页的数据读取 网页从数据库中读取一段字符显示 在页面上。 TEST表中tel的内容为: TEST表中tel...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 013-网络安全应急技术与实践(Web层-XSS钓鱼攻击)
最新发布
时光隧道
02-10 7万+
XSS(跨站脚本)是一种常见的网络攻击技术,攻击者通过在受害者的网页中注入恶意脚本,来获取用户的敏感信息或执行恶意操作。因此,XSS高级钓鱼指的是通过XSS攻击手段来进行钓鱼行为,即通过在网页中注入恶意代码,并伪装成合法的网站或登录页面,从而诱使用户输入敏感信息。
PHP+MySQL网络开发从入门到精通源码
04-08
PHP+MySQL网络开发从入门到精通源码
web安全XSS入门到精通
xlsj雪松的博客
05-31 918
目录 一、原理解释 1.1 什么是xss 1.2 xss 1.3 xss危害 二、xss实战 2.1 基础入门 2.2 中级难度 2.3 综合过滤 三、高级利用 3.1 xss平台 3.2 cookie权限维持 3.3 beef 一、原理解释 1.1 什么是xss 恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Scri...
XSS平台传输原理
Playwin
03-23 1883
前言:抽个时间,查看了一下自己搭的XSS平台(项目来源)传输数据的原理,究竟是怎样盗取cookie 生成一个盗取cookie的cookie.js 分析源码 cookie.js创建一个预加载对象,带着你的cookie等一些数据去访问服务器(xss平台) index.php接受你传过来的数据 测试 抓包,查看数据 总结 在能插入js代码的网页,插入恶意链接,利用该网站的身份发出请...
XSS的工作原理
weixin_44186370的博客
08-20 570
XSS的工作原理 2.1 XSS的概述 XSS跨站脚本攻击是将Java script代码插入web页面中,之后当用户浏览页面时, 会执行嵌套在web页面里面的Java script代码,从而达到攻击用户的目的。为了跟HTML里面的层叠样式表(CSS)作区分,所以叫作XSS,是客户端脚本安全中的头号大敌。 2.2 XSS攻击的危害 (1) 网站钓鱼,盗取各类账号 (2) 通过盗取Cookie文件,来读取Cookie文件里面的隐私信息或者以利用管理员身份进行登陆,最后进行篡改、添加、删除数据的等违法行为。 (3
XSS攻击
vergilben的学习日记
04-03 2165
简介XSS 跨站脚本攻击XSS(cross site script),为了避免与css混淆,所以简称XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。XSS是指恶意攻击者利用网站没有对用户1提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料,利用用户身份进行某种动作或者对访问...
利用Express模拟web安全之---xss的攻与防
01-26
总之,理解XSS攻击的原理并采取有效的防御措施对于维护Web应用的安全性至关重要。开发者应始终牢记“永远不要信任用户的输入”,并采取合适的编码、过滤和校正策略来防止XSS攻击的发生。同时,定期进行安全审计和...
韩顺平PHP从入门到精通完整集合(含资源)
06-18
《韩顺平PHP从入门到精通完整集合》是一套针对初学者精心编排的PHP教程,旨在帮助新手快速掌握PHP编程语言。该教程由知名讲师韩顺平主讲,覆盖了从基础到高级的全部PHP知识体系,共分为208讲,确保学习者能够系统地...
XSS原理分析解剖.doc
09-29
XSS原理分析解剖.doc
XSS高级实战教程
09-28
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
XSS脚本攻击使用方法初级教程
11-27
XSS跨站攻击介绍,解释XSS是如何进行攻击的以及执行攻击的实例
PHP从入门到精通3 随书光盘
04-17
《PHP从入门到精通3》是一本旨在帮助初学者快速掌握PHP编程技能的教程,随书光盘提供了丰富的学习资源,使读者能够结合理论与实践,深入理解PHP语言的核心概念和实际应用。以下是对该书及光盘内容的详细解析: 1. *...
XSS原理分析解剖
m0_51313985的博客
05-22 406
什么是XSS? XSS可以理解为前端代码注入(前端代码包括HTML,CSS,JavaScript) 注入攻击的本质,是把用户输入的数据当做代码执行。 这里有两个关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据 那么XSS主要拼接的是什么? SQL注入拼接的是操作数据库的SQL语句。 XSS拼接的是网页的HTML代码,一般而言我们是可以拼接合适的HTML代码去执行恶意的JS语句(总结: xss就是拼接恶意的HTML) XSS能做什么? 盗取Cookie(用的最频繁的)
xss (跨站脚本攻击)教程
U侠学子
02-09 1945
转自: https://excess-xss.com/ Part One: Overview What is XSS? Cross-site scripting (XSS) is a code injection attack that allows an attacker to execute malicious JavaScript in another user's b
XSS进阶小教程
18年3月萌新白帽子
02-25 4033
一、在了解XSS之前,我们首先需要先了解一下HTML 与 JavaScript 自解码机制。 1、HTML的自解码机制 浏览器在解析HTML标签属性值内的代码前,会先对下列两种编码进行解码,然后再对属性中的代码进行解析。 (1)、进制解码:&#xH;(十六进制格式)、&#D;(十进制格式)。编码中最后的分号(;)可以不要。且16进制中用来表示10~15的a~f对大...
xss入门教程文档
记录,总结,成长
01-22 1677
http://www.shellsec.com/tech/196192.html 什么是XSS ? 跨站点脚本XSS代表。它基本上是一个攻击,那是用来执行HTML和JavaScript的Web页面。这种攻击可以通过提交查询到文本框,甚至到URL 。结果回来阅读的文本为HTML ,所以它执行的脚本,而不是显示在纯文本。 XSS攻击,你可以从一个网络管理员窃取cooki
XSS
LANVNAL的博客
03-13 928
0XSS0X01 什么是XSS?本名是CSS(Cross Site Scripting),即跨站脚本攻击。为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。关键在于在网页中嵌入脚本代码。 0X02 XSS原理XSS攻击通过在网页中嵌入客户端恶意脚本代码来实现盗取Cookie、改变网页内容、URL调转等目的。一般是通过JavaScrip
理解DOM-Based XSS原理与防范
"这篇文章主要介绍了DOM-Based XSS,这是一种特殊的XSS漏洞类,它与传统的XSS攻击有所不同,主要涉及到网页的DOM(Document Object Model)结构。DOM-Based XSS是由于JavaScript通过DOM操作页面内容,导致敏感信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

划水的小白白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值