xss总结

最新推荐文章于 2024-03-27 17:03:23 发布
最新推荐文章于 2024-03-27 17:03:23 发布
阅读量406 收藏
点赞数
分类专栏: 暑假作业 文章标签: 前端 javascript servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56023251/article/details/126029087
版权

xss(cross-site script)跨站脚本攻击

xss允许恶意web用户将代码植入到提供给其他用户使用的页面中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采用cookie资料窃取,会话劫持,钓鱼等攻击手段。

xss脚本实例

<html> 
    <head> XSS test </head>
    <body>
        <script>alert("xss")</script>
    </body> 
</html> 

<script>alert(xss)</script>

xss输入也可能是html代码段

<meta http equiv="refresh" content="0;" >

嵌入其他网站链接的代码

<iframe src=链接地址 width=0 height =0> </iframe>

xss分类

1.反射型xss

反射型xss也叫非持久性,参数型xss,主要是将恶意的脚本附加到url地址的参数中

例如

http://www.xxx.com/search.php?key="> < script> alert("xss")</script>

一般使用构造好的url发给受害者,受害者点击触发,但是只执行一次

2.存储型xss

比反射型更具威胁性,会影响到web服务器安全

攻击者事先将恶意javascript代码上传或储存在漏洞服务器中,只要受害者包含次恶意代码的页面就会执行恶意代码

3.dom型xss

严格来说dom型xss应该归属到反射型xss,它是基于文档对象模型的一种xss

可能触发dom型xss的属性

1. document.referer;
2. window.name;
3. location;
4. innerHTML;
5. documen.write;

dom型xss与其它两种xss区别在于

xss代码并不需要服务器解析响应的直接参与,触发xss靠的是浏览器端的dom解析

举个例子

<script>
  document.getElementById("a").innerHTML="x";
</script>

如果内容x是请求过来的参数,那么攻击者就可以通过构造请求的参数完成dom xss攻击

Lzer0Kx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java防止Xss注入json_前端进阶,你必须要了解的安全问题之XSS攻击
weixin_39621379的博客
11-20 534
前端安全一直是一个老生常谈的话题,但是在实际的工作过程中,我发现大部分的前端同学对此了解不多,或者说知道一些但从没有在意识层面真正重视过。今天我们就来扒一扒前端到底有哪些安全问题,我们到底该以什么样的态度怎么去看待它。在深入分析之前我们还是按照惯例先大概介绍下什么是XSS攻击XSS-跨站脚本攻击跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击...
Xss总结
code_lab
06-13 731
1. 什么都没过滤的入门情况< script>alert(1)< /script>(练习时去掉空格) < img src=”XXXX”> < img src=1 onerror=alert(1);> 2. 输出在< script>< /script>之间的情况1.< /script>< script>XXX 2.针对输出在不同的场景,进行合适的过滤。 3. 输出在HTML属性里的情况有时候,输
【网络安全】Web安全系列——XSS攻击
fly_enum的博客
08-18 632
跨站脚本攻击(XSS),英文全称 Cross Site Script, 是Web安全头号大敌。XSS攻击,一般是指黑客通过在网页中注入恶意脚本,当用户浏览网页时,恶意脚本执行,控制用户浏览器行为的一种攻击方式。其中,XSS攻击通常分为反射型XSS、存储型XSS、DOM Based XSS三种。可以通过以下例子看看XSS攻击是如何产生的。
带你理解什么是xss攻击、sql注入攻击和csrf攻击及防范措施
南余.的博客
07-06 8124
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见的安全问题及如何防范的内容,在当下其实安全问题越来越重要,已经逐渐成为前端开发必备的技能了。
xss总结
最新发布
qq_45752705的博客
03-27 331
一、xss简介什么是XSSXXS攻击目的是在网页中嵌入客户端恶意脚本,最常用的攻击代码是JavaScriptXSS漏洞出现的原因程序对输入和输出的控制不够严格,导致"精心构造“的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害XSS的危害劫持用户cookie、点击构造的链接触发劫持cookie、框架钓鱼、刷流量、挂马、键盘记录、需要设置跨域二、xss的分类反射型XSS 中危。
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 7840
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 3458
XSS攻击介绍及防御方法
32个触发事件XSS语句的总结
04-01
32个触发事件XSS语句的总结,新人学习xss必看!
JVM实战(二一): -Xss -Xms -Xmx -Xmn 参数设置
mingyuli的博客
07-03 8430
XmnXmsXmxXss有什么区别 Xmn、Xms、Xmx、Xss都是JVM对内存的配置参数,我们可以根据不同需要区修改这些参数,以达到运行程序的最好效果。 -Xms 堆内存的初始大小,默认为物理内存的1/64 -Xmx 堆内存的最大大小,默认为物理内存的1/4 -Xmn 堆内新生代的大小。通过这个值也可以得到老生代的大小:-Xmx减去-Xmn -Xss 设置每个线程可使用的内存大小,即栈的大小。在相同物理内存下,减小这个值能生成更多的线程,当然操作系统对一个进程内的线程数还是有限制的,不能无限生
过滤关键字防止XSS攻击
weixin_30950887的博客
11-30 798
public static string ClearXSS(string str) { string returnValue = str; if (string.IsNullOrEmpty(returnValue)) { return string.Empty; } ///过滤C...
网页脚本注入XSS漏洞
weixin_68681298的博客
07-21 309
第一次登陆后服务端以set-cookie方式下发cookie,在登陆后的访问中都可以使用该cookie而不需要重复登陆,cookie里面有一些标志性信息,如什么时候过期(expires、max-age)后者优先生效,用户信息和对什么网页生效(path)等,在url上面锁的标志即可查看。个人愚见:就是每次都需要去进行代码注入,注入后才可以去执行,执行后下一次需要的时候再去注入,就是每一次都进行注入才能进行执行,所以叫做反射型。Cookie的问题:下发过多占用客户端过多的存储空间,增加通信成本。
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
XSS跨站总结
02-09
一篇文档,让你理解XSS跨站攻防的来龙去脉
xss-vuln学习通关总结
08-24
个人总结类文档。
XSS注入知识点总结.pdf
02-07
该文档是在看网络学习视频总结,从XSS漏洞概述,XSS分类,XSS构造,XSS变形,XSS的利用,XSS的防御进行总结,分章节进行叙述,可作为学习文档。
【渗透整理】XSS
SunnyCat
04-28 728
目录XSS漏洞XSS的分类:一、存储型XSS:存储式xss的概念:存储型的xss的检测:存储式xss的修复:存储型判断:(与服务器有关)二、反射型XSS:反射式xss概念:反射和存储型的区别:反射型XSS的触发:(URL,在URL上插入一些语句)反射型xss的检测:反射式xss的修复:三、DOM型的XSS:Dom式xss的检测:Dom式xss的修复: XSS漏洞 把代码参数插入到html里,去完成...
JVM常用基础参数-栈内存Xss讲解
热门推荐
泷泷养的乔小胖
06-28 2万+
JVM常用基础参数-栈内存Xss讲解 大厂面试题: 1、JVM垃圾回收时候如何确定垃圾?是否知道什么是GC Roots 2、你说你做过JVM参数调优和参数配置,请问如何盘点查看JVM系统默认值 3、你平时工作中用过的JVM常用基本配置参数有哪些? 4、强引用、软引用、弱引用、虚引用费别是什么? 5、请你谈谈对OOM的认识 6、GC垃圾回收算法与垃圾收集器的关系?分别是什么请你谈谈? ...
JVM常用基础参数栈内存Xss讲解
Java持续实践
01-11 4145
JVM常用参数 -Xss 参数为设置单个线程栈的大小, 一般默认为512K~1024K 其等价于 -XX:ThreadStackSize 栈是用来运行方法的, 堆是用来存储数据. 通过此程序查看栈内存大小 public class MyHelloGc { public static void main(String[] args) throws InterruptedException...
xss的介绍以及概述
ranuy阮的博客
07-04 1193
**何为XSS ** 首先,xss(Cross Site Scripting)是为了不和css(Cascading Style Sheets)缩写混淆而缩写为xss,直接翻译过来就是跨站脚本。 跨站脚本攻击是常见的前端web攻击。攻击者通过在页面中插入精心构造的恶意JavaScript脚本。引诱用户去点击构造的js恶意代码。当受害者去点击这些恶意代码后,游览器会去解析执行恶意的js代码。从而导致窃取用户身份/钓鱼/传播恶意代码等危害。很常见的一个xss攻击就是弹窗。 XSS的分类 反射型 储存型 DOM型
xss漏洞 pikachu
08-13
XSS漏洞是一种Web应用程序中常见的安全漏洞,它允许攻击者将恶意代码注入到受信任的网页中,从而实施各种攻击,例如窃取用户的敏感信息、会话劫持等。在文章中引用的内容提到了关于Pikachu靶场的XSS漏洞学习总结和详解。Pikachu靶场是一个针对XSS漏洞进行训练和测试的平台,它提供了不同级别和类型的XSS漏洞供用户学习和实践。文章中列举了许多关卡,涵盖了反射型XSS、存储型XSS、DOM型XSS等不同类型的XSS漏洞。此外,还提到了DOM-X型危害更大,因为它可以在URL中体现,将URL发给受害者就能进行攻击的特点。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Pikachu靶场之XSS漏洞详解](https://blog.csdn.net/m0_46467017/article/details/124747885)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值