存储型攻击

最新推荐文章于 2021-10-26 10:21:07 发布
最新推荐文章于 2021-10-26 10:21:07 发布
阅读量315 收藏
点赞数
分类专栏: web安全 文章标签: web 安全 存储型攻击 xss

存储型的定义:

        存储型xss和反射型xss的差别在于,提交的代码存储在服务器端(数据库,内存、文件系统等),下次请求目标页面时不用再提交xss代码

       

存储型的攻击脚本是如何到达服务端的存储系统里面的呢

存储型XSS的攻击基本流程:

  • a. 比如在某个论坛提供留言板功能,黑客在留言板内插入恶意的html或者Javascript代码,并且提交。

  • b. 网站后台程序将留言内容存储在数据中

  • c. 然后一个用户也访问这个论坛,并刷新了留言板,这时网站后台从数据库中读取了之前黑客的留言内容,并且直接插入在html页面中,这就可能导致了:黑客留言的脚本本身应该作为内容显示在留言板的,然后此时可能黑客的留言脚本被浏览器解释执行了。。。。

那么黑客的脚本可以用来做哪些坏事儿呢?比如:

  • 通过javascript获取用户的cookie,根据这个cookie窃取用户信息
  • 重定向网站到一个钓鱼网站
  • 重新更改页面内容,假装让客户输入用户名,密码,然后提交到黑客的服务器
  • ……

如果用过早期校内网的应该知道,校内网原先的主页可以通过自定义脚本来定制主页面,后来这个功能取消了,因为这种方式很容易产生XSS漏洞。

转载于https://blog.csdn.net/cjf_iceking/article/details/52176029
沙子揉碎在眼睛里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dvwa-XSS(存储跨站脚本)
qq_74806534的博客
02-13 344
存储的不同之处在于它可以将用户构造的有害输入直接存储起来,不需要攻击者构造链接诱使受害人点击触发,而是目标网站的用户只要访问插入恶意代码的网站就能触发,相比较反射xss更为隐蔽,危害更大,受害者也会更多。
存储跨站脚本攻击
一个程序员的修炼之路
08-10 1万+
XSS跨站脚本攻击(Cross Site Script, XSS),是最常见的Web应用应用程序安全漏洞之一,也是OWASP 2013 Top 10之一。 XSS通常来说就是在网页中嵌入恶意代码, 通常来说是Javascript,当用户访问网页的时候,恶意脚本在浏览器上执行。存储XSSXSS主要分为三种类: 反射XSS存储XSS和DOMXSS。本文主要阐述的是存储XSS,简单来说明一下
web安全——XSS存储攻击详解
weixin_33943347的博客
12-14 732
1、XSS攻击简介 Xss英文全称Cross Site Scripting大家可能觉得很奇怪,那不是应该简称为CSS吗,是的,没有错,但是因为CSS已经被层叠样式表(Cascading Style Sheets, CSS)先占用了,所以为了不和它冲突,缩写改为了XSS XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。攻击过程 1、...
XSS存储攻击
qq_42253044的博客
01-08 948
LOW 服务器端核心代码 <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message inpu...
YXcms-含有存储XSS漏洞的源码包
03-17
存储XSSXSS攻击的一种类,这种漏洞通常发生在用户提交的数据被持久化存储在服务器上,并在后续请求中未经适当过滤或转义就被显示出来,从而允许攻击者植入恶意脚本。 【描述解析】 描述中的"亲测真实有效可用...
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XSS存储 网易云课堂
01-18
**XSS存储攻击详解** XSS(Cross Site Scripting)跨站脚本攻击是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意脚本注入到网页中,进而影响其他访问该网页的用户。XSS存储XSS攻击的一种类,与反射...
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
为了防御存储XSS攻击,开发者应该采取以下措施: 1. **输入验证**:对所有用户提交的数据进行严格的验证,确保只允许安全的字符和格式。 2. **内容过滤与转义**:对存储的数据进行HTML实体编码,防止恶意脚本...
Web应用安全存储XSS.pptx
06-18
存储XSS攻击流程 存储XSS简介 存储XSS是一种将恶意代码保存到服务器端的攻击方式,如在个人信息或发表文章等地方,插入代码,每当有用户访问包含恶意代码的页面时,就会触发代码的执行,从而达到攻击目的。 有...
存储XSS攻击的简单处理以及数据库查询过滤多个字段重复数据
PSY_God的博客
08-24 3265
 问题:储存Xss是由于form表单提交的数据,前端和后台未进行过滤,将一些javascript的脚步语言存入数据库中。导致再次查询数据的时候浏览器会执行该脚步语言。如:&lt;script&gt;alert("XSS")&lt;/script&gt;。 解决方案:主要是后台的过滤,部分可绕过前端直接输入。 解决思路:采用过滤器过滤用户的输入,将一些敏感的信息直接replaceAll即可。过...
重放攻击
热门推荐
秋水的博客
09-06 1万+
什么是重放攻击? 重放攻击web漏洞中称会话重放漏洞,又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器 主机A要给主机B发送报文,中间重放攻击的主人可以是A,或者是攻击者C ...
存储xss_存储的跨站脚本攻击XSS
weixin_39912580的博客
12-12 934
存储XSS和反射XSS最大的区别就是在于存储是永久性的,这段恶意信息会被写入到数据库中,每次打开被注入恶意代码的页面均会被攻击这种方式通常是发生在论坛,评论,留言等地方,这些能够存储相关信息也能显示出来的地方,所以危害最大而其他两种方式则通常是通过链接的方式进入,只要对不明站点提高警惕则不会被攻击,而存储通常是在用户信任的网页中防护等级:低首先添...
安全知识 细分网络攻击
蓝色布鲁斯
11-23 2433
<br />目前的网络攻击模式呈现多方位多手段化,让人防不胜防。概括来说分四大类:服务拒绝攻击、利用攻击、信息收集攻击、假消息攻击。 <br /><br />  1、服务拒绝攻击 <br /><br />  服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括: <br /><br />  死亡之ping (ping of death) <br /><br />  概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP
网络安全学习第8篇 - xss攻击(java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
一清道长的个人博客
05-14 3936
请依据课堂所讲解的关于XSS攻防的技术知识,结合你所学过的Web前端编程技术,自行设计一套XSS攻防流程。要求: 1、攻防技术的实现既要有深度也要有广度。 2、需要设计一个前端页面。 3、提交时请提交实验报告以及Web前端代码。 实验文件.rar (1)什么是xss? 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出...
Stored Cross Site Scripting (XSS)
wangxiao_2的专栏
10-06 1080
low: <?php if(isset($_POST['btnSign'])) { $message = trim($_POST['mtxMessage']); $name = trim($_POST['txtName']); // Sanitize message input $message = stripslashes($message);
XSS存储攻击的末日
Ben_Y_Y的博客
10-18 580
package com.mapabc.wzt.filter; import java.io.FileInputStream; import java.io.IOException; import java.util.Properties; import javax.servlet.Filter; import javax.servlet.FilterChain; import ja
Web安全原理剖析(十五)——存储XSS攻击
Phantom03167的博客
10-26 1万+
存储XSS攻击
存储XSS攻击攻击
最新发布
05-11
存储XSS攻击是一种恶意攻击攻击者通过在网站上注入恶意脚本,使得用户在访问该网站时,恶意脚本会被存储在数据库或者本地存储中,并在下一次用户访问该网站时被执行。这种攻击方式可以长期持续,对网站和用户造成极大的危害。 攻击者可以通过各种方式注入恶意脚本,例如在评论、留言、表单等输入框中注入JavaScript代码。一旦用户访问该网站并触发了这些恶意代码,攻击者就可以窃取用户的敏感信息,如账户密码、个人信息等。 为了防止存储XSS攻击,开发人员必须对输入的数据进行过滤和验证,确保不会将任何恶意代码存储到数据库中。此外,还要对用户输入的内容进行编码,以防止恶意脚本在页面中执行。网站管理员还应该定期检查数据库中是否存在恶意脚本,并及时清除它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值