XSS漏洞学习(基础篇)

最新推荐文章于 2024-10-02 17:07:13 发布
最新推荐文章于 2024-10-02 17:07:13 发布
阅读量410 收藏 1
点赞数
文章标签: javascript 自然语言处理 html web 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoka__/article/details/119120674
版权
本文介绍了XSS漏洞的基础知识,包括HTML的注释和表单格式,如何利用htmlspecialchars()函数防止XSS攻击,以及如何通过onfocus事件和闭合标签的技巧绕过服务器端的安全防护。同时,讨论了大小写混写和关键字双写等方法来应对服务器删除关键字的情况。
摘要由CSDN通过智能技术生成

刚刚看完东京奥运会乒乓球混双比赛,盺雯组合惜败日本,博主也是深感遗憾,但是,中国健儿的顽强拼搏、越到艰难时刻越是奋力拼杀的精神深深感染着我们每一个中国人,我们都要向中国健儿学习!
最近博主在学习XSS漏洞,XSS漏洞需要很多前端知识,写此博客,做一个复习(暑假回家,书在学校的无奈)。

HTML的注释风格:

//

HTML中表单的格式

// HTML表单(输入内容为文本)

// An highlighted block

<form>
First name: <input type="text" name="firstname"><br>
Last name: <input type="text" name="lastname">
</form>

//HTML 表单(输入内容为密码)


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  pwn-尚1书_
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
XSS漏洞基础学习(笔记)

				
			

			

				

					部分学习记录
				

				

					08-04
					
					1295
					
				

			

		

		

			
				
包含一些基础XSS学习XSS跨站脚本分类
XSS漏洞介绍
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。故将其缩写为XSS。恶意攻击者往Web页面插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击者的目的
反射型XSS
非持久型XSS,这种攻击往往具有一次性。攻击者通过邮件等形式将包含XSS代码的连接发送给正常用户,当用户点击时,服务器接收该用户的请

			
		

	



                

            
              



	

		

			

				
					
XSS漏洞讲解与多实战讲解

				
			

			

				

					浪子燕青的博客
				

				

					02-25
					
					3500
					
				

			

		

		

			
				
跨站脚本攻击 XSS攻击基础

概述

个人对XSS攻击的原理认知:

原理:对可以控制传参的位置,比如url链接中,输入框中,首先闭合输出参数位置前后网页标签,在闭合的中间加上JavaScript代码或者其他的html标签,使得网页能够执行你添加的参数功能。

危害:凡是js能做的,大部分xss漏洞都能利用,常见的比如获取当前cookie,获取浏览器保存的账号密码 、获取屏幕截图,获取页面的数据,改变页面的逻辑,向服务器发送数据请求等。

情景:在挖洞的情景下,只要保证能弹个窗,或者执行js代码即可。但是

			
		

	



              


  
              

                


	

		

			

				
					
XSS漏洞学习

				
			

			

				

					qq_62078839的博客
				

				

					07-23
					
					1723
					
				

			

		

		

			
				
XSS攻击通常指的是通过利用开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括、、、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。一般XSS可以分为如下几种常见类型。...

			
		

	





	

		

			

				
					
web安全】——XSS漏洞

					
最新发布

				
			

			

				

					wxh的博客
				

				

					10-02
					
					1671
					
				

			

		

		

			
				
DOM被称为文档对象模型,是一个平台和语言的接口,使得程序和脚本可以动态访问和更新文档的内容、结构和样式。DOM本身是一个表达XML文档的标准,HTML文档从浏览器的角度来说就是XML文档,有了这些技术之后,就可以通过js轻松访问到他们。DOM会将XML文件的节点构建成树状结构,以此反应XML文件本身的阶层结构。

			
		

	



		

			
		



	

		

			

				
					
xss漏洞学习

				
			

			

				

					Z11762的博客
				

				

					04-29
					
					751
					
				

			

		

		

			
				
跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。原理:跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。特点:本质上是一种针对网站应用程序攻击的技术,同属于代码注入。

			
		

	





	

		

			

				
					
XSS 漏洞学习

				
			

			

				

					iO快到碗里来
				

				

					08-10
					
					563
					
				

			

		

		

			
				
XSS漏洞学习实战
XSS简介
XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份/钓鱼/传播恶意代码等行为。主要有三种类型:存储型XSS、反射型XSS(也叫做非持久性)、Dom型XS

			
		

	





	

		

			

				
					
xss漏洞原理

				
			

			

				

					现代鲁滨逊的博客
				

				

					07-24
					
					2728
					
				

			

		

		

			
				
XSSXSS原理简单介绍漏洞成因XSS分类1.反射型2.存储型3.DOM型XSS危害XSS构造及漏洞利用1.XSS过滤绕过利用<>标记HTMLJavaScript关闭标签利用HTML标签属性执行XSS空格回车Tab绕过过滤利用标签属性进行转码产生事件扰乱XSS过滤规则利用字符编码利用CSS跨站过滤2.其他XSS漏洞XSS防御输入过滤输出编码标签黑白名单过滤代码实体转义httponly防止cookie被盗取总结
参考:
XSS跨站脚本攻击原理及代码攻防演示(一)(很大一部分从他那来的,如侵立删)

			
		

	





	

		

			

				
					
85.网络安全渗透测试—[常规漏洞挖掘与利用1]—[xss漏洞挖掘-测试与利用]

				
			

			

				

					qwsn
				

				

					01-25
					
					5679
					
				

			

		

		

			
				
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!
文章目录
一、xss漏洞测试与利用
1、相关概念
2、xss漏洞类型
3、xss漏洞测试
4、xss漏洞利用原理:`盗取COOKIE`
5、xss漏洞利用示例:`盗取COOKIE`
6、xss漏洞利用原理:`基础认证钓鱼`
7、xss漏洞利用示例:`基础认证钓鱼`
8、xss漏洞利用原理:`键盘记录器`
9、xss漏洞利用示例:`键盘记录器`
10、关闭浏览器XSS防护机制
11、思考

			
		

	





	

		

			

				
					
86.网络安全渗透测试—[常规漏洞挖掘与利用2]—[xss漏洞利用平台-搭建与测试]

				
			

			

				

					qwsn
				

				

					01-24
					
					2945
					
				

			

		

		

			
				
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!
文章目录
一、xss漏洞利用平台-搭建与测试
1、详细说明
2、下载地址
3、搭建过程
4、测试模块:`基础认证钓鱼`【总是失败】
5、测试默认模块:`窃取cookie`【成功】
6、安装其他模块
7、测试模块:`获取内网 ip`【时好时坏】
8、测试模块:`键盘记录器`【成功】
9、测试模块:`html5截屏`【失败】
10、测试模块:`获取xss02.php页面源码`【成功】
11、总结

			
		

	





	

		

			

				
					
XSS漏洞学习笔记

				
			

			

				

					weixin_34302798的博客
				

				

					08-23
					
					397
					
				

			

		

		

			
				
浏览器安全跨站脚本攻击XSS简介XSS攻击进阶XSS攻击平台终极武器:XSS WormXSS构造技巧XSS的防御HttpOnly输入检查输出检查正确地防御XSS处理富文本防御DOM Based XSS换个角度看XSS的风险

浏览器安全
同源策略影响源的因素:host,子域名,端口,协议a.com通过以下代码:

<script scr=http://b.com/b.j...

			
		

	





	

		

			

				
					
XSS学习大全

				
			

			

				

					05-02
				

			

		

		

			
				
XSS学习大全,攻防入门,轻松上手,简单易学,推荐下载

			
		

	





	

		

			

				
					
XSS漏洞基础入门

				
			

			

				

					笑花大王
				

				

					01-29
					
					404
					
				

			

		

		

			
				
前言

XSS漏洞
Xss(Cross-Site Scripting)意为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS漏洞是一种在WEB应用中常见的安全漏洞,它孕育用户将恶意代码植入web页面,当其他用户访问此页面时,植入的恶意代码就会在其他用户的客户端中执行。
XSS漏洞的危害很多,可以通过XS...

			
		

	





	

		

			

				
					
XSS漏洞初步学习、深度利用

				
			

			

				

					m0_55313512的博客
				

				

					03-03
					
					2424
					
				

			

		

		

			
				
XSS漏洞

			
		

	





	

		

			

				
					
【网络安全---XSS漏洞(1)】XSS漏洞原理,产生原因,以及XSS漏洞的分类。附带案例和payload让你快速学习XSS漏洞

				
			

			

				

					m0_67844671的博客
				

				

					10-04
					
					5157
					
				

			

		

		

			
				
文章告诉xss是什么?原理,产生原因,分类以及一些案例

			
		

	





	

		

			

				
					
XSS漏洞原理详解丨小白WEB安全入门

				
			

			

				

					jennycisp的博客
				

				

					06-27
					
					2183
					
				

			

		

		

			
				
XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。

			
		

	





	

		

			

				
					
学一点XSS漏洞基础

				
			

			

				

					qq_42404383的博客
				

				

					09-28
					
					208
					
				

			

		

		

			
				
学一点XSS漏洞基础
反射型XSS
经过后端,不经过数据库
这种类型的XSS,需要攻击者提前构造一个恶意链接,来诱使客户点击,比如这样的一段链接:
www.abc.com/?params=<script>alert('xss')</script>

存储型XSS
经过后端,经过数据库
这种类型的XSS,危害比前一种大得多。比如一个攻击者在论坛的楼层中包含了一段JavaScript代码,并且服务器没有正确进行过滤输出,那就会造成每次浏览这个页面的用户执行这段JavaScript代码。


			
		

	





	

		

			

				
					
XSS漏洞洞讲解

				
			

			

				

					Wincreds的博客
				

				

					08-17
					
					1849
					
				

			

		

		

			
				
XSS跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络安全漏洞,它允许攻击者在其他用户访问的网页中注入恶意脚本。XSS 攻击的主要目标是通过在受害者的浏览器中执行恶意代码来窃取敏感信息、篡改网页内容或劫持用户会话。

			
		

	





	

		

			

				
					
web安全之xss漏洞01_基础入门

				
			

			

				

					宫小白
				

				

					01-04
					
					865
					
				

			

		

		

			
				
知识导航

xss跨站脚本漏洞概述
获取cookie流程
xss的三种常见类型
此漏洞的测试流程
反射型xss(get)漏洞实验

xss跨站脚本漏洞概述
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Fl...

			
		

	





	

		

			

				
					
xss漏洞利用技巧:从基础到实战

				
			

			

				

					
				

			

		

		

			
				
"作者分享了如何利用XSS漏洞提升在安全平台的排名,主要涉及XSS基础知识、分类、绕过技巧、工具测试和防御措施。文章以实例展示了一些XSS攻击的常见方法,并推荐了几相关文章供深入学习。"  在网络安全领域,XSS...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值