2021/12/5 XSS跨站原理及攻击手法

最新推荐文章于 2023-05-21 21:46:06 发布
最新推荐文章于 2023-05-21 21:46:06 发布
阅读量230 收藏
点赞数
文章标签: xss 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44532761/article/details/121734012
版权

小迪

参考

https://www.bilibili.com/video/BV1JZ4y1c7ro?p=24
https://www.zhihu.com/search?type=content&q=xss%E8%B7%A8%E7%AB%99%E5%8E%9F%E7%90%86
在这里插入图片描述

原理

由于Waf防火墙等原因,攻击服务器已经变得十分困难了,所以攻击者逐渐把目光聚焦在了前端客户端上。xss跨站(cross site script 为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS)本质就是前端漏洞,通过js脚本嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

创建一个get传参
在这里插入图片描述
传参:,发现产生弹窗
在这里插入图片描述
ie浏览器默认设置就不行
在这里插入图片描述

XSS攻击的危害

1.盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
2.控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
3.盗窃企业重要的具有商业价值的资料
4.非法转账5.强制发送电子邮件
6.网站挂马
7.控制受害者机器向其它网站发起攻击

XSS攻击分类

反射型 xss 攻击(Reflected XSS)
(非持久性跨站点脚本攻击)漏洞产生的原因是攻击者注入的数据反映在响应中。

pikachu靶场
反射性xss(get)
发现有字数限制,检查修改maxlength输入更多字符
在这里插入图片描述
或者直接修改url
在这里插入图片描述
在这里插入图片描述
存储型XSS(Stored XSS)
在这里插入图片描述
在这里插入图片描述
每次访问这个页面都会自动弹窗。
在这里插入图片描述
DOM型
DOM理解为一个一个访问HTML的标准的编程接口。DOM是一个前端的接口,并没有和后端做任何的交互。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。
在这里插入图片描述
在这里插入图片描述
Java代码前端和后端一样,但是,如果是PHP代码的话,浏览器看到的是编译后的结果。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

XSS 常规攻击手法

在留言板或者填写订单信息插入xss,网站管理员查看触发

在这里插入图片描述

被过滤了

在这里插入图片描述
xss平台

https://xss8.cc/xss.php?do=login
https://xsshs.cn/xss.php?do=login

没配置好网站环境,后续补充

参考笔记:https://www.yuque.com/samxara/swro13/rd2d5r#Kz0WF

Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中;

Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
处理XSS攻击的调研和落地方案
11-17
1.处理springboot项目的xss攻击的技术调研文档 2.处理富文本的存储类型的XSS攻击 3.处理URL参数层面的反射类型的XSS攻击
xss跨站脚本.docx
11-23
XSS 跨站脚本攻击一种常见的 web 应用程序攻击手法,它通常发生在 web 应用程序没有正确地对用户输入进行验证和过滤的情况下。下面我们将详细介绍 XSS 跨站脚本攻击原理、类型、攻击步骤、防御方法等知识点。 ...
XSS跨站原理分类及攻击手法
YkingH的博客
11-09 3611
web-xss跨站原理分类及攻击手法 XSS简介 跨站脚本攻击(Cross Site Script),为和层叠样式表区分,安全领域叫做“XSS”。 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在浏览网页时控制用户浏览器的一种攻击。一开始攻击的演示示例是跨域的,而现在由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不重要。 XSS原理解析 攻击者通过向web页面中注入JavaScript代码(或者ActionScript、VBScript),来获取用户的
25.XSS跨站原理分类和攻击手法
mingyqf的博客
04-05 4048
XSS跨站原理分类和攻击手法 就是和html语言打交道 归纳很全的大佬文章 二十五:XSS跨站原理分类及攻击手法 - 九~月 - 博客园 (cnblogs.com) 知识汇总 XSS 跨站漏洞 1. XSS简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大
第25天-WEB 漏洞-XSS 跨站原理分类及攻击手法
MCTSOG的博客
03-10 1806
思维导图 XSS-跨站脚本攻击 XSS名称由来 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS。如果你听到有人说 “我发现了一个XSS漏洞”,显然他是在说跨站脚本攻击XSS 跨站漏洞产生原理,危害,特点? 什么是xss攻击 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行
小迪安全学习笔记--第25天web漏洞-xss跨站原理分类及攻击手法
zr1213159840的博客
12-31 1095
xss跨站漏洞产生原理,危害,特点 原理:在变量在接受数据的时候,如果接受的数据被执行了,那么就产生了xss漏洞 危害:(1)窃取管理员帐号或Cookie,入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。 (2)窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。 (3)网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。 (4)发送广告或者垃圾信息。攻.
网络安全培训视频教程-61.XSS跨站脚本攻击原理剖析.rar
07-09
为什么要推出这一系列的大型免费网络安全培训教程?2007年的互联网状况可以说是不容乐观,自从轰动一时...通过了解一些黑客常用攻击手法,来发现自身的一些安全隐患,并及时修补一些安全问题,从而达到有效的防治手段。
使用AngularJS中的SCE来防止XSS攻击的方法
10-24
在AngularJS中,防止XSS跨站脚本)攻击是一项关键的安全措施。XSS攻击是恶意用户通过注入可执行的HTML或JavaScript代码到网页中,以窃取用户数据或控制用户浏览器的一种常见手法。AngularJS引入了Strict ...
什么是跨站脚本(XSS攻击
04-27
跨站脚本(Cross-Site Scripting,简称 XSS攻击一种针对Web应用的网络安全威胁,它主要利用了网站对用户输入数据的处理不足,使得攻击者能够在网页中嵌入恶意脚本,当其他用户浏览这些页面时,恶意脚本会在用户...
xss平台源码
09-28
1. **理解XSS漏洞**:通过阅读源码,可以了解XSS攻击的常见手法和技巧,提高对XSS漏洞的识别能力。 2. **安全编程实践**:学习如何在自己的项目中预防XSS,例如正确使用输入验证、输出编码和HTTP头部设置。 3. **...
xxs跨站原理分类及攻击手法(25)
san3144393495的博客
05-21 1092
造成持续的原因,因为他那个是留言板这个东西,我们在之后去访问可以看到之前的留言,我们把跨站语句写成留言,下一个访问的也会看到留言,也会执行,这种情况就称之为储存性,因为这个留言相当于写到了数据库里,攻击就一直持续到数据被删除结束。出现一个弹窗,弹窗的内容是1,而上传那一串是代码,浏览器会把那个代码执行,执行结果alert就是弹窗,1是控制弹窗的值,所以这里看到的就是弹窗一个效果,这就是一个简易的跨站漏洞。两个的区别就是一个一直在攻击,一个没有,储存性我们为什么叫储存或者就是持续,就是这个攻击会一直下去,
xss跨站脚本攻击原理、类型、防范
m0_52556798的博客
03-27 998
很久没更新了,这几天都在弄开题报告,完成的还不错 不过这篇xss学习总结比较水,因为有些代码被过滤了,需要完整的学习总结私我就行 什么是xss? 恶意代码嵌入网页中,当客户网文网页的时候,网页中的脚本会自动执行,从而达成黑客攻击的目的。 有些什么类型的xss呢? XSS分类:反射型xss、持久性xss、dom型xss 反射型 非持久化,一般需要欺骗客户去点击构造好的链接才能触发代码 持久型 可以长久的保存在网页中,每个浏览过此网页的用户都会中招, 很多xss蠕虫的爆发都是基于持久型xss,一般在留言板,评论
浅谈XSS
wdhxs的博客
11-02 170
目录一、什么是XSS?二、XSS的分类反射型XSS存储型XSSDOM-based型 一、什么是XSSXSS(Cross Site Scripting)即跨站点脚本攻击。恶意攻击者在web页面中注入恶意脚本程序,当用户浏览页面时,恶意脚本程序运行,达到攻击用户的目的。 二、XSS的分类 反射型XSS 反射型XSS为非持久性XSS,恶意攻击者诱导用户点击一个嵌有恶意代码的链接,用户点击后恶意程序在用户浏览器中运行,达到攻击的目的。反射型XSS主要有以下步骤: 黑客诱导用户点击一个有恶意程序的URL 用户点
什么是XSS攻击?XSS攻击有哪几种类型?
MachinegunJoe777的博客
08-17 4428
前言: 网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。 什么是XSS攻击? XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS攻击有哪几种类型? 常见的XSS攻击有三种:反射型XSS攻击、DOM-based型X.
【转】XSS跨站脚本攻击原理及防护方法
wanggp
11-07 394
摘要 XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。 原理 XSS 属于被动式的攻击攻击者先构造一个跨站页面,利用script、<IMG>、<IFRAME&...
XSS漏洞常见攻击方式
天天学安全专属博客
10-08 4076
1.危害 都是通过js脚本来实现的浏览器内核版本也会影响到js代码的实现 1、钓鱼欺骗 2、网站挂马 3、身份盗用 4、盗取网站用户信息 5、垃圾信息发送 6、劫持用户Web行为 7、XSS蠕虫 2.原理 XSS 属于被动式的攻击攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击者如果已经在被攻击站点登录,就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际
XSS跨站脚本攻击原理
m0re's blog
03-21 1044
XSS简介 跨站脚本(cross site script)为了避免与样式CSS混淆,所以简称xssxss一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 xss是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料,利用用户身份进行某种动作,或者对访问者进...
XSS(跨站脚本攻击)详解
万物不及香香的博客
10-22 3420
XSS原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击XSS分为:存储型 、反射型 、DOM型XSS 存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信.
跨站脚本攻击详解
weixin_30700977的博客
02-18 708
1 前言 近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。 跨站脚本攻击XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)列为当前的头号Web安...
XSS跨站脚本攻击课件
最新发布
11-24
"XSS跨站脚本攻击课件" XSS跨站脚本攻击一种针对Web应用程序的安全漏洞,它允许攻击者将恶意脚本代码注入到网页中,进而执行于用户的浏览器环境中。这种攻击通常发生在Web应用未能充分验证或过滤用户输入数据的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值