XSS

简介

XSS(跨站脚本攻击)

原因:后台没有对用户的输入进行过滤 导致JS代码被客户端浏览器执行
(不仅仅只前端安全)

原理

sql注入:将用户的数据当作了SQL语句放入了数据库 执行

XSS:将用户的数据当作了HTML语句放到了 页面 执行

分类

反射型服务器解析浏览器–》后端–》浏览器
存储型攻击数据存储在数据库里浏览器–》后端–》数据库–》后端–》浏览器
dom型作文档树来进行攻击URL–》浏览器 浏览器自己处理

存储型和dom型的区别:存储型后端处理,dom型前端处理

cookie

cookie的作用

区别身份,维持权限

Cookie or Session

cookie:客户端

session:服务端

危害

网络钓鱼,盗取各类账号密码

窃取用户cookie资料

强制弹出广告页面,刷流量

进行大量的客户端攻击,如ddos攻击

<iframe src=http://baidu.com>

蠕虫病毒

<meta http-equiv="refresh" content="0;url=http://www.baidu.com">

防护

开启httponly:指防止js获取cookie,并不能完全阻止xss漏洞

敏感字符串的过滤

如何判定一个后门有没有后门?抓包分析

学习xss的基础知识:

JavaScript基本语法:document对象,window对象

Ajax请求(本质还是js)

攻击

攻击目标:构造出能被浏览器执行的JS代码

利用场景:

用户自己可控的输入框

评论框,在线订单(表单),聊天室,留言板,(可输入参数的地方,可交互的地方)

管理员经常查看(触发)的地方

攻击技巧

右键查看网页元素进行分析

标签语法的替换

特殊符号干扰

垃圾数据溢出

大小写绕过

转换为Unicode编码

更换提交方式:post–>request

隐藏在js文件里

绕过HTTP only:

浏览器未保存账号密码:需要xss产生登陆地址,利用表单劫持

浏览器保存账号密码:浏览器读取账号密码

工具的使用

xsstrike:扫描

beef

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于BERT构建新闻文本分类模型,并结合node.js + vue完成了一个可视化界面。 爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的工作流程包括以下几个关键步骤: URL收集: 爬虫从一个或多个初始URL开始,递归或迭代地发现新的URL,构建一个URL队列。这些URL可以通过链接分析、站点地图、搜索引擎等方式获取。 请求网页: 爬虫使用HTTP或其他协议向目标URL发起请求,获取网页的HTML内容。这通常通过HTTP请求库实现,如Python中的Requests库。 解析内容: 爬虫对获取的HTML进行解析,提取有用的信息。常用的解析工具有正则表达式、XPath、Beautiful Soup等。这些工具帮助爬虫定位和提取目标数据,如文本、图片、链接等。 数据存储: 爬虫将提取的数据存储到数据库、文件或其他存储介质中,以备后续分析或展示。常用的存储形式包括关系型数据库、NoSQL数据库、JSON文件等。 遵守规则: 为避免对网站造成过大负担或触发反爬虫机制,爬虫需要遵守网站的robots.txt协议,限制访问频率和深度,并模拟人类访问行为,如设置User-Agent。 反爬虫应对: 由于爬虫的存在,一些网站采取了反爬虫措施,如验证码、IP封锁等。爬虫工程师需要设计相应的策略来应对这些挑战。 爬虫在各个领域都有广泛的应用,包括搜索引擎索引、数据挖掘、价格监测、新闻聚合等。然而,使用爬虫需要遵守法律和伦理规范,尊重网站的使用政策,并确保对被访问网站的服务器负责。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值