WEB漏洞-xss跨站 原理、分类、手法

最新推荐文章于 2023-10-04 13:45:30 发布
最新推荐文章于 2023-10-04 13:45:30 发布
阅读量231 收藏
点赞数
分类专栏: web安全 文章标签: web 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46425310/article/details/117999591
版权

WEB漏洞-xss跨站 原理、分类、手法

原理:xss漏洞产生原理,xss漏洞危害
漏洞产生原理:对传入参数没有过滤,参数中包含了js代码且被执行。产生层面在前端,与浏览器内核版本有关,有的浏览器会阻止代码的执行。
分类:反射型(非持续性),存储型(持续性),DOM型
反射型:必须主动构造,主动触发。发包x= -->本地浏览器静态前端代码–>x.php,所以可以在审查元素中看到源代码中有关的代码
PHP等后端语言查看源码显示的为PHP代码执行后的结果
html等前端语言查看源代码显示的为原本的代码
手法xss平台使用,结合工具使用(beef),结合其他漏洞使用
xss跨站漏洞用来cookie劫持,会话(session)劫持
通过劫持cookie可以实现登录管理员或特定用户的页面,只要该用户未清理cookie,且可以用cookie验证登录
cookie 存储在本地 存活时间较长 小中型公司
session 会话 存储在服务器 存活时间较短 大型公司
存活时间指可能每过固定时间就会清楚cookie session信息
若采用了session验证,就算cookie劫持得到cookie也无法登录,而且由于session是在服务端的,而cookie劫持是盗取对方本地信息,所以只能得到cookie而得不到session。

je1emy0uan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss漏洞原理
现代鲁滨逊的博客
07-24 2285
XSSXSS原理简单介绍漏洞成因XSS分类1.反射型2.存储型3.DOM型XSS危害XSS构造及漏洞利用1.XSS过滤绕过利用<>标记HTML、JavaScript关闭标签利用HTML标签属性执行XSS空格回车Tab绕过过滤利用标签属性进行转码产生事件扰乱XSS过滤规则利用字符编码利用CSS跨站过滤2.其他XSS漏洞XSS防御输入过滤输出编码标签黑白名单过滤代码实体转义httponly防止cookie被盗取总结 参考: XSS跨站脚本攻击原理及代码攻防演示(一)(很大一部分从他那来的,如侵立删)
XSS漏洞原理
孤的博客
10-30 2889
简介 xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 攻击者往Web页面里插入恶意html标签或者javascript代码。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;...
浅谈XSS漏洞原理
av11566的博客
04-14 3442
今日简单复习了一下XSS漏洞
04. XSS漏洞原理
weixin_43909650的博客
12-16 1047
2022网安冬令营(web安全/渗透测试/实战训练)——蚁景网安 https://ke.qq.com/course/5874132#term_id=106089914
XSS漏洞详解
热门推荐
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
xss跨站脚本攻击详解
06-08
XSS攻击,全称为**跨站脚本攻击**(Cross Site Scripting),是一种常见的网络安全漏洞,它发生在Web应用程序未能正确过滤用户输入的数据时。攻击者可以借此机会将恶意脚本注入到正常的应用程序流程中,进而对其他...
网络安全培训视频教程-61.XSS跨站脚本攻击原理剖析.rar
07-09
2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒不仅仅是造成互联网高危状态的主要因素,网络上同时...
XSS跨站脚本攻击方法初探
06-03
本文主要探讨了XSS(Cross Site Scripting,跨站脚本)攻击的基本概念、原理及其常见的几种攻击手法XSS攻击是一种针对Web应用程序的安全漏洞,攻击者通过在合法网站上插入恶意脚本来获取用户的敏感信息。本文将...
网络安全培训视频教程-62.XSS跨站脚本攻击演示.rar
07-09
2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒不仅仅是造成互联网高危状态的主要因素,网络上同时...
Web安全测试之XSS实例讲解
09-01
Web安全测试中的XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器中注入并执行恶意脚本。攻击者通常利用这种漏洞来窃取用户的敏感信息,如Cookie,甚至操纵用户的浏览器行为,将...
XSS漏洞原理及防范措施
看着博客敲代码
06-05 1765
XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,允许攻击者在受害者浏览网站时,通过注入恶意脚本(如JavaScript)到网页中,从而窃取用户敏感信息、篡改页面内容或进行其他恶意行为。
XSS漏洞及其原理(详解)
刘桂香263的博客
07-29 1万+
XSS被称为跨站脚本攻击(CrossSiteScripting),由于和层叠样式表(CascadingStyleSheets,CSS)重名,改为XSS。主要基于JavaScript语言进行恶意攻击,因为js非常灵活操作html、css、浏览器
XSS漏洞原理与防护措施
qq_50905066的博客
03-27 9375
xss漏洞,既跨站脚本攻击 xss分类: 大致可以分为储存型与反射型。 储存型:最直接的危害类型,跨站代码存储在服务器(数据库)。 反射型:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。 如图 图中所示位储存型xss攻击流程。攻击者要先搭建起恶意服务器。构建xss恶意脚本,通过留言,评论,注册等各种正常服务器可以上传的位置上传恶意脚本。 服务器会将恶意脚本保存在数据库中,当正常用户访问服务器并查看了该恶意脚本时,服务器会将xss的恶意脚本返回至用户浏览器。 这时用
web安全----XSS漏洞之基本原理
qq_41683305的博客
03-01 370
0x01 概述 XSS跨站脚本攻击,XSS攻击针对的是用户层面的攻击!类型有反射型XSS、存储型XSS、DOM型XSS,这里的DOM可以理解为页面,或者是所有的标签、内容之和 0x02 反射型XSS 反射型XSS攻击流程为: 即: 发送带有XSS恶意链接----》用户点击,访问目标服务器-----》目标服务器将XSS同正常页面返回给用户-----》用户浏览器解析恶意XSS,向恶意服务器请求-----》恶意服务器获取用户信息。 所以反射型XSS又称为非持久型XSS,经过后端,不经过数据库,需要诱导目标去访
XSS漏洞原理详解丨小白WEB安全入门
jennycisp的博客
06-27 2106
XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。
什么是XSS漏洞---漏洞原理学习
Ping_Pig的博客
08-11 2338
漏洞原理: xss(cross site script)跨站脚本攻击,指的是攻击者往web页面插入恶意脚本代码,当用户浏览时,嵌入web页面里的脚本代码就会执行,从而达到恶意攻击用户的特殊目的 xss攻击中一般有三个角色:攻击者,目标服务器,受害者浏览器 漏洞原因: 生成html过程中,html语法中含有特殊意义的字符(元字符)没有被正确处理,服务器端没有对用户输入进行安全方面的校验,攻击...
XSS、CSRF、SSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5068
这里写目录标题XSSXSS攻击原理XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSS、CSRF、SSRF的区别XSS、CSRF的区别 XSS XSS(Cross Site Scripting):跨域脚本攻击。 XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
XSS漏洞-01】XSS漏洞原理和危害及验证与分类
cc
02-10 7928
反射型XSS不与数据库进行交互,直接由前端进行反馈;存储型XSS会将恶意代码写进服务器的数据库中;反射型和存储型xss都先将数据发送到了服务器,再从服务器读取数据显示到页面中,burp能抓取到数据;DOM型XSS主要是在浏览器本地修改DOM树而执行,并不会经过服务器,所以burp抓取不到包。
网络安全---XSS漏洞(1)】XSS漏洞原理,产生原因,以及XSS漏洞分类。附带案例和payload让你快速学习XSS漏洞
最新发布
m0_67844671的博客
10-04 4793
一篇文章告诉xss是什么?原理,产生原因,分类以及一些案例
理解XSS漏洞原理分类与防范
"本文主要介绍了跨站脚本漏洞XSS)的基本概念、分类以及其在Web渗透中的重要性,并提及其他常见的Web渗透手法。" 跨站脚本漏洞XSS)是Web应用中常见的安全问题,攻击者利用这种漏洞在用户浏览器中执行恶意代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值