XSS攻击原理及常见的XSS攻击

最新推荐文章于 2024-05-22 10:49:06 发布
最新推荐文章于 2024-05-22 10:49:06 发布
阅读量6.3k 收藏 36
点赞数 4
文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47218056/article/details/108792031
版权

一、什么是XSS攻击?

XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是:
恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。

二、反射性XSS

反射性XSS的原理是:反射性xss一般指攻击者通过特定的方式来诱惑受害者去访问一个包含恶意代码的URL。当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。
常见的反射性XSS有哪些?
常见的是:恶意链接。

三、存储性XSS

存储型XSS的原理是:主要是将恶意代码上传或存储到服务器中,下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码。
如何防范?

  1. 后端需要对提交的数据进行过滤。
  2. 前端也可以做一下处理方式,比如对script标签,将特殊字符替换成HTML编码这些等。

四、DOM-based型XSS

DOM XSS 是基于文档对象模型的XSS。
一般有如下DOM操作:

  1. 使用document.write直接输出数据。
  2. 使用innerHTML直接输出数据。
  3. 使用location、location.href、location.replace、iframe.src、document.referer、window.name等这些。

五、SQL注入

SQL注入是通过客户端的输入把SQL命令注入到一个应用的数据库中,从而执行恶意的SQL语句。

慕楠木南
关注
  • 4
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8139
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
什么是XSS攻击?XSS跨站脚本攻击及防护(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-22 2448
XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当用户(被攻击者)登录网站时就会执行这些恶意代码,通过这些脚本可以读取cookie,session tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈。XSS玫击原理XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript 编写的恶意代码,也有使用其他客户端脚本语言编写的。当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。
XSS攻击详解
xllllll___的博客
02-17 1481
1.盗用cookie,获取用户的敏感信息;2.利用iframe,frame等方式,以用户的身份执行一些管理动作,或者执行一些一般的行为比如说发私信,加好友等;3.在一些访问量极大的页面上进行XSS攻击可以攻击一些小型网站;4.利用一些可被攻击的域或者其它的域信任的特点,以受信任来源的身份请求一些平时不被允许的操作。
XSS的原理、攻击方式、一些绕过姿势和防御方法
weixin_51519028的博客
09-16 2633
XSS的原理、利用手法、绕过姿势、以及防御方法
漏洞:反射型 XSS 攻击
平凡的人类的博客
03-09 9160
什么是反射型 XSS 攻击? 反射型 XSS 是指应用程序通过 Web 请求获取不可信赖的数据,并在未检验数据是否存在恶意代码的情况下,将其发送给用户。反射型XSS一般可以由攻击者构造带有恶意代码参数的URL来实现,在构造的URL地址被打开后,其中包含的恶意代码参数被浏览器解析和执行。这种攻击的特点是非持久化,必须用户点击包含恶意代码参数的链接时才会触发。 实现目的: (其实说白了就类似于 SQL 注入,只不过一个是针对数据库,一个是针对 HTML ) 通过你提交的数据,实现反射型 XSS 可以..
XSS攻击常识及常见XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见XSS攻击脚本汇总
PHP如何防止XSS攻击XSS攻击原理的讲解
01-02
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
防止XSS攻击解决办法
01-20
理解XSS攻击原理和类型,结合实际应用,选择合适的防护策略,是保障Web应用安全的关键。通过Web.xml配置过滤器是其中一种简单实用的方法,但全面的安全措施应包括多个方面,以确保用户的浏览体验不受威胁。
springboot2.x使用Jsoup防XSS攻击的实现
10-15
XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意脚本,从而窃取用户敏感信息、操纵页面内容或是实施其他恶意行为。 XSS攻击的基本原理是攻击者通过注入恶意脚本到网页中,当...
XSS注入原理以及一些绕过姿势
qq_37019068的博客
10-09 1万+
介绍 XSS——跨站脚本攻击。通过这个攻击手段,攻击者可以将恶意的 JavaScript 代码插入存在 XSS 漏洞的 Web 页面中,当用户浏览带有恶意代码的页面时,这些恶意代码会被触发,从而达到攻击的目的。可以说,XSS 是针对用户层面的攻击。 XSS的分类 通常,我们吧XSS分为三个类型,即 存储型,反射型与DOM型。不同的类型原理各有差异,而且注入的点也不同。 存储型 存储型的XSS,最大的特点是可持久化,因为在过滤条件差的情况下,存储型的XSS的恶意代码会直接被保存在服务器端的数据库中。而这个恶意
XSS注入——反射性XSS
wwwwyyyrre的博客
06-15 2357
所以就可以利用这个函数来构造payload,也是最简单的xss脚本语言:这样就可以绕过了 没有任何的限制 就是一个简单的反射型xss注入等明天搭一个本地的靶场来做xss-labs我认为不是很难,反射型xss。
XSS注入的原理与实现
LJH1999ZN的博客
02-17 4433
一、JavaScript的常用脚本 1.window.location.href 用来跳转页面 eg:<script>window.location.href='www.jd.com'</script> 2.document.cookie 获取客户端的cookie值 3.script 可以通过“src”属性引入JavaScript文件 二、什么是同源策略 同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第...
XSS专栏之常见xss--总结备忘
键盘的起始页
02-25 1021
开始总结一些xss的想法。
XSS攻击原理及防范
bawei939的博客
08-29 5319
文章目录一、XSS攻击简介二、XSS攻击分类1.反射型2.存储型3.DOM-based型三、XSS防范1.cookie安全策略2.X-XSS-Protection设置3.XSS防御HTML编码4.XSS 防御HTML Attribute编码5.XSS防御之javascript编码6.XSS 防御之 URL 编码7.XSS 防御之 CSS 编码8.开启CSP网页安全政策防止XSS攻击 一、XSS攻击简介 XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,
XSS漏洞及其原理(详解)
热门推荐
刘桂香263的博客
07-29 1万+
XSS被称为跨站脚本攻击(CrossSiteScripting),由于和层叠样式表(CascadingStyleSheets,CSS)重名,改为XSS。主要基于JavaScript语言进行恶意攻击,因为js非常灵活操作html、css、浏览器。
跨站脚本攻击(XSS)——常见网站攻击手段原理与防御
guugle2010的专栏
04-10 8309
主要是依靠一切可能的手段,将浏览器中可以执行的脚本(javascript)植入到页面代码中,从而对用户客户端实施攻击。这才是我认为在目前这个“大前端时代”xss攻击的定义。 实际上黑客攻击这种行为从本质上讲,就是想尽一切手段在别人的代码环境中执行自己的代码。
Django之sql注入,XSS攻击,CSRF攻击原理及防护
time
06-21 5747
sql注入的危害非法操作用户数据库的数据来获取利益,通过修改数据库来修改网页的内容,注入木马等未完待续
XSS的两种攻击原理及五种防御方式
qq_780662763的博客
06-19 1946
XSS简介 跨站脚本攻击指的是自己的网站运行了别的网站里面的代码 攻击原理是原本需要接受数据但是一段脚本放置在了数据中: XSS攻击原理 XSS攻击能做什么? •获取页面数据 •获取Cookies •劫持前端逻辑 •发送请求到攻击者自己的网站实现资料的盗取 •偷取网站任意数据 •偷取用户密码和登陆状态 •改变按钮的逻辑 XSS攻击类型 其实XSS的种类非常的多尤其是变种的特别多,大致可以分为两种 反射型:是通过URL参数直接注入,一般是使用alert来探测站点是否防御,直接攻击的使用src来引入自己的脚.
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。一.什么是XSS

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值