跨站脚本攻击原理、攻击过程及防御方法简介

已于 2022-05-04 15:32:40 修改
阅读量8.6k 收藏 9
点赞数 6
分类专栏: WEB安全 文章标签: 前端 web安全 javascript
于 2022-05-03 21:33:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64551911/article/details/124560902
版权

文章目录

一、XSS简介

(一)什么是XSS?

Cross-Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。
前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。
前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当做JS代码执行。
后端代码是在服务器上执行的,而前端代码是在客户端(浏览器)执行的,并且前端代码是完全对用户开放的,因此对于攻击者而言,通过分析前端代码,并进行测试,则有可能找到针对网站的XSS注入点,从而对网站实施攻击。

(二)XSS的危害

  • 1、读取目标的cookie并通过ajax方法发送出去(XSS的核心是偷cookie)。关于ajax的内容,有时间我会专门出一篇文章讲解,有需要可以点击下方链接进行查看:
    ajax简介:https://www.w3school.com.cn/js/js_ajax_intro.asp
  • 2、获取内网ip(可以扫描并攻击内网)
  • 3、获取浏览器保存的明文密码
  • 4、截取网页屏幕
  • 5、网页上的键盘记录

(三)XSS的分类

XSS分为反射型、存储型和DOM型三类。
反射型XSS:
反射型XSS又称非持久型XSS,这种攻击方式往往具有一次性。
提交的数据成功的实现了XSS,但是仅仅是对你这次访问产生了影响,是非持久型攻击。
 
存储型XSS:
存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。(你提交的数据成功的实现了XSS后,数据会存入数据库,别人访问这个页面的时候就会自动触发)。
 
DOM型XSS
DOM型XSS是最复杂的一类XSS,既可以是反射型(大部分)也可以是存储型(小部分)。DOM最大的核心就是:通过JS代码对网页进行修改,变化和执行。当JS代码执行后的结果产生了XSS漏洞的话,这就是DOM型XSS,再根据该XSS能否被存储进数据库中,可再细分为反射型和存储型。

(四)XSS的特性

XSS的核心:获取别人的cookie来登陆别人的账号。
要展开XSS攻击,需要在目标网站上触发指定的JS语句。攻击者主要通过以下三种触发方式展开攻击:
1、标签法(又叫XML法) ,比如:

<script>alert(1)</script>

2、伪协议法,比如:

<a href=Javascript:alert(1)>123</a>

3、事件法,比如:

</img src=# onerror=alert(1) />

onXXXX=XXXXX,表示事件.
onerror表示当加载错误的时候触发。前面的SRC表示图片的路径,随便给它个符号让它报错,然后执行后面的句子。
如果改成onload,就表示加载成功的时候执行。
on事件可以去百度搜。事件还有很多,其中渗透测试最常用的事件主要有:

onerror
onload
onfocus
oninput

(五)XSS攻击过程

这里以反射型XSS靶场为例,讲解如何展开一波简单的XSS攻击。
对于攻击者而言,XSS是见框就插。通常是先在目标输入框中输入一些指定的字符,然后在网页源代码中搜索该字符,根据该字符出现在源代码中的位置,分析注入点,展开进一步测试。一般是设法让网页弹窗,如果网页弹窗成功,则表明存在XSS漏洞,就可以根据XSS的类型制定不同的利用策略。
下面以反射型XSS靶场为例,我们从攻击者的角度,看看如何寻找XSS注入点。
进入靶场:
在这里插入图片描述
输入qwert,然后查看网页源代码,按ctrl+f搜索qwert:
在这里插入图片描述
刚才输入的qwert出现在两处地方,其中一处是标签中的文本,暂不考虑利用,先看input标签,我们考虑,看到是单引号闭合,因此我们可以考虑,先闭合掉原标签,然后将后面的单引号注释掉,然后设法让网页弹窗。那么该如何输入呢?如下所示:

'> <script>alert(1)</script>//

发现网页没弹窗,查看源代码:
在这里插入图片描述
分析源代码,可以看到,两个尖括号都被实体化了,但是单引号还在,因此可以尝试改用事件法来做。继续输入:

' oninput=alert(1)//

在这里插入图片描述
成功弹窗!

二、如何防御XSS攻击?

实际上,从防御的角度来看,大多数漏洞最有效的防御方法就是过滤。XSS防御最主要的方法就是过滤和html实体化(对代码进行编码,让代码只有文本意义),比如把尖括号换成&lt。由于实体化需要对整个页面进行实体化,因此容易出现二次传参的问题,因此XSS防御起来并不是很容易。由于XSS攻击中,常常有偷用户甚至是管理员cookie的行为,对于这种攻击方法,可以将客户端的httponly勾上,这样就无法通过JS读取cookie了。当然给网站安装WAF也是一种行之有效的防御方法。
httponly的选项在检查页面的Application里面:
在这里插入图片描述
这样在控制台输入document.cookie就读取不到cookie值了。对于httponly默认被勾选的这种情况,可以用ie浏览器来绕过,因为ie浏览器不支持httponly。另外也可以考虑想办法让cookie在页面上输出,比如访问该网站的探针文件(需要对网站进行目录扫描)。如果是使用框架一键搭建的WEB环境,往往有探针,比较常见的探针文件有phpinfo.php,i.php等。

三、本文小结

本文针对跨站脚本攻击(XSS)从原理、特性、分类、危害、攻击过程等角度进行了介绍,并讲解了目前主流的XSS防御思路,希望能对大家学习XSS起到一定的参考作用,不足之处敬请谅解。

Mr.95
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站脚本漏洞(xss)原理及绕过
qq_64775230的博客
06-14 45
丹尼在cookie上设置httponly标识后,浏览器就会知道这是特殊的cookie,只能由服务器检索,所有来自客户端脚本的访问都会被禁止。利用现有的xss平台,xss平台是一个测试xss漏洞获取cookie的平台,xss可以做js能做的所有事情,八廓但不限于窃取cookie、后台删改文章、钓鱼、李勇xss漏洞进行传播、修改网页代码、网站重定向、获取用户信息等。x:模式中的没有经过转义的或不在字符类中的空白数据字符总会被忽略,并且位于一个未转义的字符类外部的#字符和下一个换行符之间的字符也被忽略。
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
跨站脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 9671
跨站脚本攻击漏洞-基础篇
网络安全威胁——跨站脚本攻击
聚集机器学习、信息安全
12-03 2797
跨站脚本攻击(Cross-site Scripting,通常称为XSS),是一种典型的Web程序漏洞利用攻击,在线论坛、博客、留言板等共享平台是跨站脚本攻击的典型目标。
跨站脚本攻击XSS(最全最细致的靶场实战)
热门推荐
m0_51468027的博客
01-31 3万+
一、XSS跨站漏洞 (1)XSS简介   网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌.
Web安全入门——跨站脚本攻击(XSS)
wangluoanquan152的博客
01-22 1221
跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。 XSS攻击是指黑客通过“HTML注入”篡改网页,插入恶意的脚本,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
WEB漏洞原理】XSS 跨站脚本攻击
过期的秋刀鱼
08-26 2322
当用户访问被XSS 脚本注入过的网页,XSS 脚本就会被提取出来,用户浏览器就会解析执行这段代码,也就是说用户被攻击了。DOM 型XSS 是一种XSS 攻击,其中攻击的代码是由于修改受害者浏览器页面的DOM 树而执行的。搜索框、登录框、微博、留言板、聊天室等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 的风险。XSS 攻击目标是客户端浏览器用户,由于浏览器的类别不同,攻击效果不同,甚至于同一款浏览器,攻击效果都不一样。浏览器的类型,版本等因素都会影响XSS 的效果。
网络安全-跨站脚本攻击(XSS)的原理攻击防御
最新发布
weixin_55154866的博客
12-12 305
跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的javascript代码会被执行,从而达到恶意攻击用户的目的。XSS是攻击客户端,最终受害者是用户,当然,网站管理员也是用户之一。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是。
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
如何进行跨站脚本攻击--原理、检测与防御
07-06
### 如何进行跨站脚本攻击--原理、检测与防御 #### 一、跨站脚本攻击(XSS)概述 跨站脚本攻击(Cross-Site Scripting,简称XSS)是Web应用中最常见的安全漏洞之一。XSS攻击允许攻击者在用户的浏览器中注入恶意...
xss跨站脚本攻击与预防
11-04
**XSS跨站脚本攻击详解** XSS(Cross Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击...
XSS跨站脚本攻击原理与实践1
08-03
本次实验旨在深入理解XSS跨站脚本攻击原理,包括反射型、存储型和基于DOM的XSS,并掌握如何预防和检测这些攻击。通过对不同类型的XSS进行实践,学生应能了解其危害,学习如何避免在Web应用程序中引入此类漏洞。 ...
XSS跨站攻击介绍
m0_54020412的博客
06-15 1900
本文介绍了XSS跨站攻击方式及演示
XSS(跨站脚本攻击原理详解(内含攻击实例)
qq_52642385的博客
07-05 6944
军锋真人cs野战123平台、xss平台(推荐自行搭建xss平台,不让别人白嫖咱自个的成果,蓝莲花战队的那个就挺好)、webshell箱子、postman、beef(kali上可能要自行下载,三行命令即可)、burpsuite、xsstrike【内含软件使用方法原理前端提交的一些参数转换为js代码,可以回显一些东西跨站:例如你将一段攻击代码通过留言存储到对方服务器上时,对方管理员在浏览时就可能会执行你所写的攻击语句。产生层面:前端函数类:一般应用js里面的一些输出类函数但是会受浏览器内核影响,一些浏览器会
跨站脚本攻击攻击过程
Spontaneous_0的博客
09-21 182
XSS攻击正是通过向HTML代码中注入恶意的脚本实现的,HTML指定了脚本标记为:。在没有过滤字符的情况下,只需要保持完整无错的脚本标记即可触发XSS。假如我们在某个资料表单提交内容,表单提交内容就是某个标记属性所赋的值,我们可以构造如下值来闭合标记来构造完整无错的脚本标记:">
XSS(跨站脚本攻击)详解
hello
07-02 3882
XSS简述-XSS类型-XSS常用标签
渗透测试 跨站攻击手法剖析
网站安全专家
10-09 444
上一节讲到了渗透测试中xss跨站攻击检测方法和防护,这一节也是关于跨站攻击的另一个手法CSRF,很多客户找到我们Sinesafe想要了解更多的跨站攻击检测方法以及防御此类攻击的办法,想要让网站的安全性更加坚固,对此提醒大家渗透测试网站必须要拿到授权才能测试哦! 3.3.1. 简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click A...
XSS跨站脚本攻击危害、攻击原理、常用工具、防御策略
04-03
XSS(Cross-site scripting)跨站脚本攻击是一种常见的Web安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本,从而窃取用户的敏感信息,或者执行其他的恶意行为。 危害: 1. 盗取用户的Cookie和Session等敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值