xss的攻击方式

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量307 收藏
点赞数
分类专栏: web安全 文章标签: web安全 攻击方式 反射型攻击 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wh13267207590/article/details/80135881
版权

xss的攻击方式

1、反射型

2、存储型


反射型定义:

    发出请求时,xss代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,xss代码随响应内容一起传回给浏览器,最后浏览器解析执行xss代码。这个过程像一次反射,因此叫反射型xss。

构建node应用,

mkdir xxx

cd xxx

mkdir xss

cd xss

express -e ./

命令:express -e ./ express表示安装express -e表示使用ejs作为模板 ./表示当前目录中 (使用express -e ./的命令之前我们应该使用npm安装express框架 npm install -g express , npm install -g express-generator )

npm install 


目录结构如下:


更改routes/index.js的内容:

var express = require('express');
var router = express.Router();

/* GET home page. */
router.get('/', function(req, res, next) {
  res.render('index', { title: 'Express',xss: req.query.xss}); //xss: req.query.xss 服务端对哪个字段需要解析
});

module.exports = router;


更改views/index.ejs的内容:

<!DOCTYPE html>
<html>
  <head>
    <title><%= title %></title>
    <link rel='stylesheet' href='/stylesheets/style.css' />
  </head>
  <body>
    <h1><%= title %></h1>
    <p>Welcome to <%= title %></p>
    <div class=''>
    <%- xss %>  // '<%-'是‘-’不是‘=’,允许输入html内容,不需要转义,所以用‘-’
    </div>
  </body>

</html>

npm start 看下效果,在页面上输入http://localhost:3000/?xss=12


如果xss输入的是img、iframe标签呢



注意:如果页面报错


则在routes/index.js文件中加入‘ res.set('X-XSS-Protection',0);

var express = require('express');
var router = express.Router();
/* GET home page. */
router.get('/', function(req, res, next) {
 res.set('X-XSS-Protection',0);
  res.render('index', { title: 'Express',xss: req.query.xss});
});

module.exports = router;




沙子揉碎在眼睛里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf xss利用_CTF小白入门- 跨站脚本攻击
weixin_39984952的博客
02-23 1090
跨站脚本攻击(Cross Site Scripting , XSS)是指攻击者巧妙的将恶意代码注入到网页中,当用户浏览器中加载网页、渲染网页时,就会执行的恶意代码的过程。经常遭到XSS漏洞的典应用有 邮件、论坛、留言板等。新浪微博、百度贴吧也曾遭受过 XSS攻击。对内容有不理解的小伙伴或发现错误的小伙伴,可以私信和我联系,共同探讨。如果您喜欢,麻烦点个赞,(づ ̄ 3 ̄)づXSS可以造成哪些危害?...
xss攻击的了解
七月
10-12 934
常见的xss攻击方法 1.绕过XSS-Filter,利用&lt;&gt;标签注入Html/JavaScript代码; 2.利用HTML标签的属性值进行xss攻击。例如:&lt;img src=“javascript:alert(‘xss’)”/&gt;;(当然并不是所有的Web浏览器都支持Javascript伪协议,所以此类XSS攻击具有一定的局限性) 3. 空格、回车和Tab。如果XSS ...
聊一聊这个总下载量36039K的XSS-NPM库,是如何工作的?
Tz
01-03 963
上篇文章这一次,彻底理解XSS攻击讲解了XSS攻击的类和预防方式,本篇文章我们来看这个36039K的XSS-NPM库(你没有看错就是3603W次, 36039K次,36,039,651次,数据来自https://npm-stat.com),相信挺多小伙伴在项目中,也用到了这个库。 话不多说,我们来看~ js-xss简介 js-xss是一个用于对用户输入的内容进行过滤,以避免遭受 XSS 攻击的模块(什么是 XSS 攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、格式控制相关的 HT.
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
xss基本介绍与防护
weixin_40662552的博客
01-13 1208
XSS基本介绍 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 XSS通过将精心构造的代码(JS)代码注入到网页中,并由浏览器解释运行这段JS 代码,以达到恶意攻击的效果。当用户访问被XSS 脚本注入的网页,XSS脚本就会被提取出来。浏览器就会解析这段XSS 代码,在客户端运行恶意的代码。 XSS危害 简单
XSS漏洞常见攻击方式
天天学安全专属博客
10-08 4069
1.危害 都是通过js脚本来实现的浏览器内核版本也会影响到js代码的实现 1、钓鱼欺骗 2、网站挂马 3、身份盗用 4、盗取网站用户信息 5、垃圾信息发送 6、劫持用户Web行为 7、XSS蠕虫 2.原理 XSS 属于被动式的攻击攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击者如果已经在被攻击站点登录,就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际
XSS攻击具体主要是哪些方法?如何防止被攻击呢?
2301_76418831的博客
05-03 558
XSS(跨站脚本攻击)是一种常见的Web攻击,主要是利用网站未对用户输入的数据进行充分过滤,导致恶意脚本被插入到网站的HTML页面中,从而影响到其他用户。3.DOM-based XSS攻击攻击者利用了网站的前端脚本,例如JavaScript等,来修改页面的DOM结构,从而触发恶意脚本。4.对用户输入的数据进行转义:对用户输入的数据进行HTML Entity编码或JavaScript转义,可以防止恶意脚本的注入。为了防止XSS攻击,应该对用户输入的数据进行充分的过滤和验证。1.在表单输入框中输入恶意代码。
xss攻击实例
frinck的博客
10-16 5044
Cross Site Script 攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。 1.分类 ????反射跨站脚本攻击 攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。 ✨存储跨站脚本攻...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击 XSS攻击主要分为三类:反射XSS、存储XSS和DOMXSS。 1. 反射XSS攻击者通过构造恶意链接,诱使用户点击...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
XSS攻击实例1
01-11
在"WebApplication1"这个项目中,你可以通过分析代码和测试不同类XSS攻击,理解它们的工作方式,并学习如何有效地实施防护措施。实践是最好的老师,通过实际操作,你可以更深入地掌握这些概念并提升你的Web应用...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot框架中,我们可以使用XSSFilter来预防这类攻击。 首先,理解XSS攻击的本质是关键。XSS攻击是通过在网页中注入可执行的脚本,当用户...
XSS攻击详解
weixin_47450807的博客
03-01 3万+
本篇博客主要总结一下什么是XSS攻击,并且如何防范XSS攻击。 一、什么是XSS攻击 XSS攻击中文名称为:跨站脚本攻击XSS的重点不在于跨站,而在于脚本的攻击XSS攻击的工作原理:攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌套在该页面的代码就会执行,因此会达到攻击用户的目的。 XSS的分类:XSS攻击最主要分为如下几类,反射,存储,DOM-based反射和DOM-based可以归类于非持久性XSS攻击。存储可以归类于持久性XSS攻击。 二、反射
漏洞复现篇——XSS三种攻击方式讲解
爱国小白帽
02-20 4891
实验环境: PHPstudy 火狐浏览器、IE DVWA靶场 模拟实验: DOM: 1、把级别调成low,选择DOM点击Select 2、将url中的English换成<script>alert(/xxx/)</script>,出现弹窗 Reflected 1、在框中输入<script>alert(/xxx/)</script>,点击Subm...
前端安全XSS及CSRF
javagty6778的博客
02-11 130
【代码】前端安全XSS及CSRF。
浏览器安全问题XSS攻击:救命,奇奇怪怪的链接不要点啊
Web_boom的博客
02-09 261
整理了一套《前端大厂面试宝典》,包含了HTML、CSS、JavaScript、HTTP、TCP协议、浏览器、VUE、React、数据结构和算法,一共201道面试题,并对每个问题作出了回答和解析。
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
ZL_1618的博客
03-13 1889
xss 攻击的三种类都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
vue中使用v-html防止xss注入
aGreetSmile的博客
06-25 1953
通常我们处理xss攻击会使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。这样我们就能覆盖html指令。这样我们就从源头解决了html指令存在的潜在xss攻击。3.在vue.config.js中覆写html指令。2.引入xss包并挂载到vue原上。解决html指令存在的xss漏洞问题。
dvwa靶场xss攻击
09-25
DVWA靶场是一个用于学习和测试网络安全漏洞的虚拟环境。在DVWA靶场中,有一个特定的漏洞被称为XSS(跨站脚本攻击)。XSS攻击是一种利用网页应用程序对用户输入的处理不当而进行的攻击。通过在受害者浏览器中执行恶意脚本,攻击者可以窃取用户的敏感信息、劫持用户会话或者操纵网页内容。 在DVWA靶场中,有两种XSS攻击方式:存储XSS反射XSS。存储XSS攻击是指攻击者将恶意代码嵌入到后台服务器的存储区域,当其他用户访问这个页面时,恶意代码就会被执行。而反射XSS攻击是通过欺骗用户点击一个包含恶意代码的链接来实现攻击。 要在DVWA靶场中进行XSS攻击,可以按照以下步骤进行: 1. 首先,需要确定XSS漏洞的存在,可以通过尝试在输入框中插入一些特殊字符或标签,如<script>标签,来判断是否能成功执行恶意代码。 2. 如果成功执行了恶意代码,可以尝试构造payload来获取用户的cookie等敏感信息。 3. 进一步,可以尝试利用XSS漏洞来进行会话劫持或者篡改网页内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值