XSS必备知识

已于 2022-11-07 12:07:01 修改
阅读量818 收藏
点赞数
分类专栏: # XSS跨站脚本 文章标签: xss 前端 安全 xss漏洞 渗透测试
于 2022-07-22 11:16:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44257023/article/details/125927849
版权

xss是什么?

以下来源于网络:
XSS全称(Cross Site Scripting)跨站脚本攻击,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一,这就意味着XSS可以进行“服务端”攻击,因为管理员要比普通用户的权限大得多,一般管理员都可以对网站进行文件管理,数据管理等操作,而攻击者一般也是靠管理员身份作为“跳板”进行实施攻击
XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是 javascript 语言,但也会使用其它的脚本语言

xss漏洞的原因?

未对用户可控输入进行过滤以及输出内容未做合理处理导致了前端或者输出点直接认为是有效代码而执行了

xss漏洞可以做什么?

常见的有:

  • 劫持用户cookie
  • 框架钓鱼
  • 键盘记录
  • 网页挂马
    一些xss平台或者工具还有其它的功能比如屏幕监控、读取文件内容、发送错误升级提示等

跨域是什么?

当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域,把不同的域之间请求数据的操作,成为跨域操作

xss的分类:

反射型:交互的数据一般不会被存在在数据库里面,只是简单的把用户输入的数据反射给浏览器,就一次性
储存型:交互的数据会被存在在数据库里面,永久性存储,具有很强的稳定性
DOM型:不与后台服务器产生数据交互,通过前端的dom节点形成的XSS漏洞

xss漏洞如何去找

在输入的地方输入特殊字符(’ " <> | &)+自定义字符,如果未过滤直接输出原样的结果,那么这里就可能有xss漏洞

常家壮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最新的前端面试指南
08-23
1、JavaScript相关:闭包、跨域、继承、原型链、设计模式、正则 2、CSS相关:选择器权重 3、HTML相关:盒模型、viewport、块级元素、行内元素 4、构建工具相关:gulp、webpack了解一个 5、Node.js相关:HTTP模块、File模块、创建服务器的原理 6、网络相关:HTTP、TCP、UDP、DNS、WebSocket 7、框架相关:jQuery、MVVM框架了解一个 8、数据库相关:关系型数据库必备一个、MongoDB、redis等非关系型数据库选择了解 9、工具相关:Chrome开发者工具、fiddler 10、设计知识:基本的设计原则、基本的设计规范 11、Web安全XSS、CSRF、SQL注入 12、性能优化:CDN加速、负载均衡等 12、其他需要了解的:Linux、计算机组成原理、操作系统、一种或多种后端语言(推荐必备Node.js,再加C#、PHP、Python、Java、go中的一门)
关于 Xss 攻击的那些事
wumu0927的博客
01-03 3656
关于 Xss 攻击的那些事 文章首发于个人博客 前言 准备秋招的时候, 背了一些关于 Xss 的八股文, 但是没有深入了解, 所以当时面试回答的时候, 只能自己背的那部分说出来, 当面试官一深问时, 就回答不出来了, 直到现在有时间去研究 Xss 攻击, 才发现和自己背的八股文有一些区别。 文章中的 ???? 源代码都可以在这里下载, 最好是自己运行一遍, 结合本文食用最佳!!! 什么是 Xss 攻击 跨站脚本攻击(Xss)是一种代码注入攻击, 允许攻击者在其他用户的浏览器上执行恶意 JavaScrip
XSS注入基础入门篇
好好睡觉
02-17 4699
XSS注入基础,XSS注入原理,XSS注入分类
XSS基本概念和原理介绍
m0_64005272的博客
01-02 1369
形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致 "精心构造" 的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。● XSS漏洞一直被评估为Web漏洞中危害较大的漏洞,在OWASP TOP的排名中一直属于前三的江湖地位。④提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞;交换的数据一般不会被保存在数据库里面,一次性,所见即所得,一般出现在查询类页面等。交换的数据会被保存在数据库里面,永久性存储,一般出现在留言板,注册等页面。
XSS攻击
vergilben的学习日记
04-03 2123
简介XSS 跨站脚本攻击XSS(cross site script),为了避免与css混淆,所以简称XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。XSS是指恶意攻击者利用网站没有对用户1提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料,利用用户身份进行某种动作或者对访问...
XSS详解
热门推荐
金色%夕阳的博客
07-30 1万+
XSS详解 1. 简介 2. 跨站脚本实例 3. XSS 的危害 4. 分类 4.1 反射型XSS(非持久型) 漏洞成因 攻击流程 4.2 存储型XSS(持久型) 漏洞成因 攻击流程 4.3 DOM型XSS 漏洞成因 4.4 通用型XSS 漏洞成因
XSS漏洞简介、危害与分类及验证
jennycisp的博客
06-27 5988
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
WebQian Duan Hei Ke Ji Zhu Jie Mi - Zhong Chen Ming , Xu Shao Pei.mobi
05-24
主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都...
Web前端黑客技术解密
10-30
主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都...
XSS测试用例
q908544703的博客
05-28 1897
下载原件地址:链接:https://pan.baidu.com/s/1HQu4daTdxfgTDWAyXUD5lA 提取码:5mw1 在这里插入图片描述
XSS(跨站脚本攻击)详解
jkzyx123的博客
07-12 5696
XSS是一种常见的安全漏洞,它允许攻击者在受害者浏览器上执行恶意脚本。攻击者通过在网页中注入恶意代码,使得用户浏览该页面时,恶意代码会被执行。
灵魂拷问第5篇:能不能说一说XSS攻击?
Crazymryan的博客
04-20 248
什么是 XSS 攻击?XSS 全称是 Cross Site Scripting(即跨站脚本),为了和 CSS 区分,故叫它XSSXSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域...
常见的web前端面试试题(含答案)
m0_57290404的博客
06-15 1763
题目的答案提供了一个思考的方向,答案不一定非常全面,仅供参考,文末有惊喜   Q: 怎么去设计一个组件封装   1. 组件封装的目的是为了重用,提高开发效率和代码质量   2. 低耦合,单一职责,可复用性,可维护性   3. [前端组件化设计思路]   Q: js 异步加载的方式   1. 渲染引擎遇到 script 标签会停下来,等到执行完脚本,继续向下渲染   2. defer 是"渲染完再执行",async 是"下载完就执行",defer 如果有多个脚本,会按照在页面中出现的顺序加载,多个async
xxs漏洞危害_XSS漏洞攻击原理与解决办法
weixin_27061475的博客
12-24 1156
转自:http://www.frostsky.com/2011/10/xss-hack/对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。一、什么是XSSXSS又叫CSS (Cross Site Script),跨站脚本攻击...
XSS学习笔记(未完)
星落
11-01 999
XSS学习笔记
XSS(跨站脚本)概述
大雾
05-15 897
特殊字符+唯一识别字符 '"这是特殊字符6666这是唯一识别字符查看页面源代码ctf+f查询666F12选取页面元素,把长度限度改成200发现弹框成功 (反射型是不存储的刷新页面代码就没了。
跨站脚本攻击XSS介绍、原理、分类、利用、防御
qq_37432174的博客
11-22 3023
跨站脚本攻击,恶意攻击者插入恶意Html或Script等脚本代码到用户浏览的web网页上,当用户浏览该页之时,因WEB应用程序对用户输入过滤不足,嵌入其中Web里面的恶意脚本代码会被执行,从而达到恶意攻击用户的目的。由于HTML代码和客户端JavaScript脚本能在受害者主机上的浏览器任意执行,这样等同于完全控制了WEB客户端的逻辑,在这个基础上,黑客可以轻易地发起Cookie窃取,会话劫持,钓鱼欺骗等各种各样的攻击。
xss过滤特殊字符
BusyMonkey
06-19 5963
xss过滤特殊字符
跨站脚本攻击XSS
qq_45557130的博客
10-16 1387
xss
渗透测试XSS基础知识
最新发布
07-23
以下是关于 XSS 的基础知识: 1. XSS 的原理:XSS 攻击利用了网站对用户输入的信任,攻击者将恶意脚本注入到网页中,当用户浏览该网页时,恶意脚本会在用户的浏览器中执行,从而达到攻击的目的。 2. XSS 的分类:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值