XSS攻击原理及常见的XSS攻击

最新推荐文章于 2024-09-27 23:54:06 发布
最新推荐文章于 2024-09-27 23:54:06 发布
阅读量6.3k 收藏 36
点赞数 4
文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47218056/article/details/108792031
版权

一、什么是XSS攻击?

XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是:
恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。

二、反射性XSS

反射性XSS的原理是:反射性xss一般指攻击者通过特定的方式来诱惑受害者去访问一个包含恶意代码的URL。当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。
常见的反射性XSS有哪些?
常见的是:恶意链接。

三、存储性XSS

存储型XSS的原理是:主要是将恶意代码上传或存储到服务器中,下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码。
如何防范?

  1. 后端需要对提交的数据进行过滤。
  2. 前端也可以做一下处理方式,比如对script标签,将特殊字符替换成HTML编码这些等。

四、DOM-based型XSS

DOM XSS 是基于文档对象模型的XSS。
一般有如下DOM操作:

  1. 使用document.write直接输出数据。
  2. 使用innerHTML直接输出数据。
  3. 使用location、location.href、location.replace、iframe.src、document.referer、window.name等这些。

五、SQL注入

SQL注入是通过客户端的输入把SQL命令注入到一个应用的数据库中,从而执行恶意的SQL语句。

慕楠木南
关注
xss攻击
qq_46312220的博客
08-18 368
2.1 Xss(跨站脚本攻击) 2.1.1 原理 恶意web用户通过将恶意脚本代码植入到提供给其他用户使用的页面中来达到攻击的目的 2.1.2 攻击类型: 反射型:通过把恶意代码放入url中进行注入,后端解析url并将恶意的代码拼接到html中返回给浏览器,浏览器由于无法识别哪些是恶意代码就会解析执行。由于只有点击了这种带有恶意代码的url后攻击才能生效,所有攻击者往往诱导被攻击者点击攻击者指定的特色url。 存储型又称持久型:攻击者通过技术博客中的评论,留言,以及各种可能的方式将恶意代码提交到数据
XSS攻击原理及防御措施
qq_44169219的博客
11-04 3063
XSS,即跨站脚本攻击(Cross Site Scripting)攻击原理 恶意攻击者向web页面中插入恶意的代码,当用户浏览时,嵌入微博页面中的恶意代码将被执行。通过插入恶意脚本实现对用户浏览器的控制或窃取信息等目的。 参考以下几篇,都写的很好: 推一篇美团技术团队的文章,超级详细:https://www.freebuf.com/articles/web/185654.html 附常见的...
Xss(cross-site scripting)攻击
stonehigher125的专栏
07-04 893
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。 比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户
XSS(内含DVWA)
最新发布
m0_73902453的博客
09-27 935
反射型 XSS:即时反射,依赖用户点击链接,通常是一次性的。存储型 XSS:恶意代码存储在服务器上,多次执行,影响广泛。DOM型 XSS:常在客户端,通过操控 DOM 元素来执行,无需与服务器交互。
详解 XSS 攻击原理
热门推荐
听得到微笑的博客
10-29 1万+
跨站脚本攻击(Cross Site Scripting)本来的缩写为CSS,为了与层叠样式表(Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS。因此XSS是跨站脚本的意思。XSS跨站脚本攻击(Cross Site Scripting)的本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
XSS的攻击原理
asdfghjkl978564的博客
09-19 120
XSS全称cross-site scripting攻击指的是攻击者往Web页面里插入恶意html标签或者JavaScript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。 比如:(1)点击一个看起来安全的链接, (2)恶意的表单传递到攻击者的服务器上 分类:(1)存储型XSS (2)反射型X...
155.XSS攻击原理
zjy123078_zjy的博客
02-22 336
XSS攻击: XSS(Cross Site Script)攻击叫做跨站脚本攻击,他的原理是用户使用具有XSS漏洞的网站的时候,向这个网站提交一些恶意代码,当用户在访问这个网站的某个页面的时候,这个恶意的代码就会被执行,从而来破坏网页的结构,获取用户的隐私信息等。 XSS攻击场景: 比如现在有一个发布帖子的入口,如果用户在提交数据的时候,提交一段js代码,比如,,然后网页在渲染的时候直接将该代码渲染...
XSS攻击常识及常见XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见XSS攻击脚本汇总
PHP如何防止XSS攻击XSS攻击原理的讲解
10-17
XSS攻击原理涉及Web应用程序如何处理用户输入的问题。在不经过适当过滤的情况下,用户输入的数据可能会被当作代码执行。比如,当一个Web表单用于收集用户信息,并将这些信息显示在页面上,如果开发者没有对这些信息...
跨站脚本攻击XSS(Cross Site Script)的原理常见场景分析
10-18
总之,了解XSS攻击原理常见场景对于提高网络安全性至关重要。网站开发者需要时刻警惕,采取有效的防护措施,以保护用户的信息安全。而用户也应该保持警惕,避免在不可信的网站上提供敏感信息,并定期更新浏览器...
XSS攻击原理
飞鸟Blog
09-04 1万+
<br />跨站脚本攻击XSS攻击与防范指南 <br /><br />文章目录 <br /><br />XSS攻击与防范指南... 1 <br /><br />第一章、XSS的定义... 1 <br /><br />第二章、XSS漏洞代码... 1 <br /><br />第三章、利用XSS盗取cookies. 3 <br /><br />第四章、防范XSS漏洞... 4 <br /><br />第四章、XSS攻击方法... 4 <br /><br />第六章、利用Flash进行XSS攻击... 6 <br
XSS攻击-原理学习
an6992的博客
09-26 577
本文优先发布于简书https://www.jianshu.com/p/04e0f8971890 1、百度百科XSS,跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,通常将跨站脚本攻击缩写为XSS。XSS攻击,通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令...
XSS攻击原理以及手段
weixin_33901843的博客
04-06 182
XSS攻击方式:反射型,存储型 存储型:两者差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用提交XSS代码 反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以称为发射型XSS。 XSS攻击的防范措施 编码 对用户输入...
了解 XSS 攻击原理
baiguomeng
01-06 110
了解 XSS 攻击原理 在看完酷壳写的HTML 安全列表 突然很想写一篇有关 XSS 的快速教学 让更多人能了解何谓 XSS 安全漏洞 在了解 XSS 之前必须知道『网站登入(Session)』的原理 简单的说当会员成功登入后 网站会给浏览器一个『令牌』 之后只要拿着这个『令牌』到网站上 就会被视为已经登入 再来下面是 XSS 最简单的流程 简单的说黑客...
XSS攻击原理解析
海宇的博客
04-16 216
[size=large][b]XSS全称Cross Site Script,跨站脚本攻击[/b][/size] 它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 [size=large][b]主要途径[/b][/size] 1、对普通的用户输入,页面原样内容输出,(用户的输入包括coo...
跨站脚本攻击(XSS)——常见网站攻击手段原理与防御
guugle2010的专栏
04-10 8379
主要是依靠一切可能的手段,将浏览器中可以执行的脚本(javascript)植入到页面代码中,从而对用户客户端实施攻击。这才是我认为在目前这个“大前端时代”xss攻击的定义。 实际上黑客攻击这种行为从本质上讲,就是想尽一切手段在别人的代码环境中执行自己的代码。
XSS攻击
baidu_26872161的博客
09-20 207
1、XSS XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与CSS(Cascading Style Sheets)混淆,故将跨站脚本攻击缩写为XSS,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 通俗的来说就是我们的页面在加载并且渲染绘制的过程中,如果加载并执行了意料之外的程序或代码(脚本、样式),...
XSS 攻击原理
彰彰大人
12-09 1100
XSS攻击场景,攻击原理及防御
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值