XSS跨站脚本漏洞

已于 2022-08-02 17:49:27 修改
阅读量855 收藏
点赞数
文章标签: xss 前端 java http 网络安全
于 2022-07-28 23:32:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woo233/article/details/126029504
版权

1.1 HTTP协议

1.1.1 HTTP请求方式(GET POST)

GET请求用于发起查询
POST请求用于向服务器提交数据
在这里插入图片描述

1.1.2 HTTP请求格式
请求行 请求头 请求体
在这里插入图片描述
1.1.3 HTTP响应格式
在这里插入图片描述
可在网页中按“F12”或者鼠标右键进行查看
在这里插入图片描述
1.1.4 HTTP特点

请求应答模式
灵活可扩展
可靠传输
无状态 stateless

1.2 客户端的Cookie

为了解决http的无状态影响:每个请求都是独立的,
需求:保持会话
可以cookie来实现需求
cookie内容:key/value格式,如:
name=xx id=99 islogin = 1

在网页中按“ctrl + shift + delete”键,会出现下图所示,可清除之前上网的痕迹,
在这里插入图片描述

用Set-cookie给客户端设置cookie
BAIDUID为key 后面为value
Thu和max-age都为cookie的生命周期,max-age优先级高 domain=.baidu.com 表示在百度所有子网都可以用
在这里插入图片描述
cookie保持的地方:1.内存 2.磁盘
cookie有过期时间放到磁盘中进行存储;
临时cookie存储在浏览器中,关闭浏览器,临时cookie即结束

cookie不能跨浏览器,跨域名使用,不同浏览器各种管cookie

有 cookie之后,cookie可在headers中查看
Cookie的特点
1.明文
2.可修改
3.大小受限 据浏览器而定
Cookie的用途
1.记住登录状态
2.跟踪用户行为

1.3 服务端的Session

cookie的缺点:1.占用客户端资源 2.增加HTTP通信成本
cookie和Session的对比:所有的cookie值都保存在客户端
而Session保存在服务端,通过cookie字段去给客户端下发PHP SESSID
在这里插入图片描述
1.用户第一次访问产生会话,向会话中添加key/value
2.用户第二次访问,检验Session
3.用户注销
在这里插入图片描述

1.4 JavaScript 操作Cookie

用JavaScript读取Cookie:alert(document.cookie)
![在这里插入图片描述](https://img-blog.csdnimg.cn/4e4545c99b054ab594ab35759ac18c59.png在这里插入图片描述
写入cookie: document.cookie=“username=wuya”
修改cookie就是覆盖原本的cookie
删除cookie,设置生命周期

1.5 脚本注入网页:XSS

恶意攻击者用web页面的漏洞,插入一些恶意代码,当用户访问页面的时候,代码就会执行,达到攻击目的.

可分为:反射型和存储型
反射型:每次需要发送
存储型:为持久的

最常见的 XSS 测试语句

我们在内容或是一些字段中输入这个测试的payload,就可能可以看到弹框,这就表示漏洞存在。

在这里插入图片描述
在这里插入图片描述

1.6 XSS防御方法

1.识别:正则表示
识别恶意脚本以及其变形

工具:WAF(web应用防火墙)Modsecuity3.0

wow2ok
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
Web安全:XSS漏洞的测试(防止 黑客利用此漏洞.)
热门推荐
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
【安全测试】Web应用安全之XSS跨站脚本攻击漏洞
GDYY3721的博客
08-04 2271
以前都只是在各类文档中见到过XSS,也进行过相关的学习,但是都是一知半解,过了一段时间就忘了。前几天我们收到了了一份标题为《XX账号昵称参数中存在存储XSS漏洞》的报告文档,来源是一个叫漏洞盒子的机构,看它的官方介绍,是一个互联网安全测试众测平台。第一次在实际工作中遇到相关的问题,所以决定再系统的学习一下,此篇为学习记录。
XSS漏洞详解
最新发布
apple_74953689的博客
07-26 404
XSS类型存储型反射型DOM型触发过程黑客构造XSS脚本后正常用户访问携带XSS脚本的页面正常用户访问携带XSS脚本的URL正常用户访问携带XSS脚本的URL数据存储数据库URLURL谁来输出后端web应用程序后端web应用程序前端Javascript输出位置HTTP响应中HTTP响应中动态构造的DOM节点是否持久是否否W3C提出的CSP是一个HTTP头部,允许网站所有者定义哪些内容可以被加载到页面中。
跨站脚本XSS漏洞_跨站脚本漏洞
jennycisp的博客
05-13 1230
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 2064
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
漏洞复现】红帆OA iorepsavexml.aspx文件上传漏洞
失心少年
12-16 1044
广州红帆科技深耕医疗行业20余年,专注医院行政管控,与企业微信、阿里钉钉全方位结合,推出web移动一体化办公解决方案——iOffice20(医微云)。提供行政办公、专业科室应用、决策辅助等信息化工具,采取平台化管理模式,取代医疗机构过往多系统分散式管理,实现医院内各科室之间的快速分工合作,并通过整合各类管理应用,让医疗机构管理者随时随地把控医院的运营管理情况,同时为行政管理人员提供便捷多终端的移动协同工具,推进移动办公全面落地,深化互联网+医疗建设,成就面向医疗机构的“智慧管控”。
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本攻击
01-27
跨站脚本攻击(XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
java方面xss跨站脚本
11-05
工具:xss-html-filter-master的源码 书籍:XSS跨站脚本攻击剖析与防御(完整版) 所需jar: antlr-3.0.1.jar antlr-runtime-3.0.1.jar xssProtect-0.1.jar
xss跨站脚本攻击详解
06-08
XSS攻击,全称为**跨站脚本攻击**(Cross Site Scripting),是一种常见的网络安全漏洞,它发生在Web应用程序未能正确过滤用户输入的数据时。攻击者可以借此机会将恶意脚本注入到正常的应用程序流程中,进而对其他...
XSS跨站脚本攻击课件
11-24
XSS跨站脚本攻击】详解 XSS(Cross-Site Scripting)跨站脚本攻击是网络攻防领域中的常见威胁,攻击者利用这种技术向网页中注入恶意脚本,进而对用户的信息安全构成严重风险。由于浏览器通常无法区分合法与恶意...
xss跨站脚本攻击
05-26
### XSS跨站脚本攻击详解 #### 一、XSS跨站脚本攻击概述 XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的网络安全威胁,主要通过在受害者的浏览器环境中注入恶意脚本,从而实现对用户的攻击。这种攻击...
张小白的渗透之路(四)——XSS跨站脚本漏洞详解
Litbai_zhang
10-10 611
XSS简介 XSS又叫CSS(Cross Site Script),即跨站脚本攻击。是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。 上述内容可知,XSS属于客户端攻击,受害者最终是用户。需要注意的是,网站管理员也属于用户之一,这就意味着XSS可以攻击“服务器端”。因为管理员要比普通用户的权限...
跨站脚本漏洞XSS
qq_48904485的博客
03-22 8570
一、XSS跨站脚本基础 1、XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2、XSS漏洞原理 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7895
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
xss跨站脚本漏洞修复
08-31
XSS跨站脚本漏洞修复是保护网站免受潜在攻击的重要措施。下面是一些常见的修复方法: 1. 输入验证:对于用户输入的数据,进行严格的验证和过滤。使用白名单机制,只允许特定的字符和标签,过滤掉所有潜在的恶意脚本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wow2ok

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值