Web开发安全-攻击篇XSS | 青训营笔记

最新推荐文章于 2024-07-22 15:19:55 发布
最新推荐文章于 2024-07-22 15:19:55 发布
阅读量22 收藏
点赞数
文章标签: 前端 安全 xss 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y943711797/article/details/132978624
版权

theme: healer-readable

highlight: atelier-cave-light

这是我参与「第四届青训营 」笔记创作活动的第5天

Web开发安全

在web开发中,安全是非常重要的一环,如果不注意,用户信息,数据库权限等一些对企业、用户产生威胁将会掌握在不法分子的手中。我们需要不断地学习,发现代码的漏洞,与黑客斗智斗勇。这是一个你追我赶的过程。

XSS原理

XSS主要利用了盲目信任用户提交的内容,且将内容直接挂载到DOM中。在提交的内容中提交<script>标签的脚本。

XSS的特点

  • 很能从UI上感知,因为它是在暗地里执行脚本。
  • 窃取用户信息,比如 token、cookie等。
  • 绘制UI,比如弹窗、frame等,让用户以为是官方表单或者UI,使得用户填写一些信息。

XSS代码示例demo

原代码: ```js public async submit(ctx){ const {content,id}=ctx.request.body; //未对content进行过滤 await db.save({ content, id }); }

public async render(ctx){ const{ccontent}=await db.query({ id:ctx.query.id }); } // 没有过滤,直接上DOM ctx.body=<div>${content}</div>;

```

我们提交恶意脚本: js // 提交数据 fetch("/submit",{ body:JSON.stringfy({ id:"1" content:`<script>alert("注入xss代码弹窗")</script>` }); }); 我们body中就是会出现这样的代码: ```js

ctx.body= <div> //这样就被注入了xss <script>代码 <script>alert("注入xss代码弹窗")</script> </div> ```

Stored XSS

特点: - 恶意脚本被存在数据库中 - 访问页面->读数据===被攻击 - 危害最大,对全部用户都可见(都会有影响)

就像这个世界多了一个和你共享的人,无论是对用户还是企业,都会产生非常大的危害。

Reflected Xss

特点: - 不涉及数据库 - 直接在URL上攻击(很不幸,本人电脑中招了)

Reflected XSS代码示例

js public async render(ctx){ // query获取url const {param}=ctx.query; ctx.status=200; // 直接上DOM xtx.body=`<div>${param}</div>`}

image.png

DOM-based XSS

特点: - 不需要服务器的参与 - 恶意攻击的发起+执行,全在浏览器上完成

image.png

这样达到了和Reflected XSS一样的效果,但是它们的攻击路径是有区别的。Reflected XSS是通过服务器将恶意脚本传到浏览器上的,而DOM-based XSS是恶意脚本与浏览器形成了一个闭环。

一个月只能改一次欧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Dvwa之存储型XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 1966
和好像被过滤掉了,会不会像反射型一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
ASP.NET笔记之Session、http、web开发原则、xss漏洞的详细介绍
10-27
在本文中,我们将深入探讨ASP.NET开发中的几个关键概念,包括Session管理、HTTP协议、Web开发原则以及XSS(跨站脚本)漏洞。这些知识点对于理解和构建安全、高效的Web应用程序至关重要。 首先,我们来讨论Session。...
Web开发安全-攻击篇 2| 笔记
y943711797的博客
08-04 29
theme: channing-cyan highlight: an-old-hope 这是我参与「第四届笔记创作活动的第6天 Web开发安全-攻击Web开发安全是程序开发的重中之重,但是我们常常会不注意会写出一些让黑客容易攻击的代码,因此,我们要格外注意,与黑客们斗智斗勇。 Mutation-based XSS 特点: - 利用了浏览器渲染DOM的特性(独特优化) ...
Web开发安全-防御篇 | 笔记
y943711797的博客
08-06 33
theme: channing-cyan 这是我参与「第四届笔记创作活动的第8天 Web开发安全-防御篇 面对网络上的一些攻击,我们需要做出一些应对的措施来防止一些恶意代码,为企业、用户带来安全的网络环境。 防御XSS 我们从XSS的特点来说,他是通过用户提交的内容注入恶意代码进行攻击的,而我们却将用户提交的内容数据直 接挂载在DOM上。 所以,我们应该怎么防御XSS呢?...
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 3884
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
Web 安全XSS 攻击
qq_43645678的博客
11-22 829
Web 安全XSS 攻击
bee-box之XSS攻击(附上篇总结)
qq_43571759的博客
03-20 3141
bwapp的xss练习笔记附上篇总结 前言 一个月前刷了XSSchalleng以为自己已经算是入门了XSS了,但是在我挖洞碰到有可能存在XSS漏洞网页的时候,发现我只能记起来<script>alert('xss')</script> 等等最基本的,绕过方式忘得一干二净,果然一句话说得好!对于我这种没有天赋的人,重复就是记忆它妈!!! 再就是上次刷题的我居然没有总结,那可是我...
Web安全XSS跨站脚本攻击_超链接xss
2401_84297944的博客
04-28 633
对于验证码,XSS Payload 可以通过读取页面内容,将验证码的图片 URL 发送到远程服务器上来实施——黑客可以在远程XSS后台接收当前验证码,并将验证码的值返回给当前的 XSS Payload,从而绕过验证码。这段代码在页面中插入了一张看不见的图片,同时把 document.cookie 对象作为参数发送到远程服务器,这样,就完成了一个简单的窃取 Cookie 的 XSS Payload。XSS 攻击成功后,攻击者能够对用户当前浏览的页面植入恶意脚本,通过恶意脚本,控制用户的浏览器。
Web 安全漏洞之 XSS 攻击
qingkahui24689的博客
05-30 640
XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的。常见的 XSS 攻击有三种:反射型、DOM-based 型、存储型。其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击
【小迪安全web安全|渗透测试|网络安全 | 学习笔记-5
youngerll的博客
01-02 2456
【小迪安全web安全|渗透测试|网络安全 | 学习笔记-5
Web-安全渗透全套教程20XSS跨.zip
05-22
【标题】"Web-安全渗透全套教程20XSS跨.zip"揭示了这是一份关于Web安全渗透测试的教育资料,特别关注XSS(Cross-Site Scripting,跨站脚本攻击)这一主题。XSS是一种常见的网络安全漏洞,攻击者通过注入恶意脚本到...
MLDN——Java Web 开发实战经典源码笔记(基础篇)|
08-06
《MLDN——Java Web开发实战经典源码笔记(基础篇)》是一本专注于Java Web开发的实战教程,旨在帮助读者从零开始掌握Web应用的开发技术。这本书通过深入浅出的讲解和丰富的实例代码,全面介绍了Java Web开发的基础...
yolo开发t-JavaWeb-m笔记
06-03
【标题】"yolo开发t-...15. **安全**:包括认证、授权、防止SQL注入和XSS攻击等。 这些知识点涵盖了从基础到进阶的JavaWeb开发,通过"yolo开发t-JavaWeb-m笔记"的学习,开发者可以系统地提升自己的JavaWeb开发能力。
ASP实例开发源码-愚人笔记 比较安全的文章管理系统.zip
11-16
【ASP实例开发源码-愚人笔记 比较安全的文章管理系统】是一个基于ASP(Active Server Pages)技术的web应用程序,旨在提供一个安全且实用的文章管理解决方案。ASP是一种微软公司的服务器端脚本语言,用于创建动态...
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 394
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
python爬虫基础——Webbot库介绍
最新发布
qq_56262770的博客
07-22 584
Webbot是一个专为Python设计的库,用于简化网页自动化任务。它基于Selenium WebDriver,提供了一系列高级接口,使自动化任务更加直观和易于管理。Webbot库的设计理念是将复杂的网页交互抽象为简单的API调用,从而减少开发者在编写自动化脚本时的工作量。Webbot库的核心功能包括自动化表单填写、点击操作、数据抓取等,同时支持处理JavaScript渲染的页面和模拟用户行为。这些功能使得Webbot库成为自动化测试、数据收集和网页监控等领域的理想选择。
LG 选择 Flutter 来增强其智能电视操作系统 webOS
恋猫de小郭的博客
07-17 1739
总的来说,LG 是 Flutter 在 TV 领域的一次新的尝试,并且它是在脱离了 Android 平台的场景下实现的支持,虽然 webOS 并不是什么流行的系统,但是这也体现出了 Flutter 的特点:可以用较低的成本实现较好性能的跨平台。后续,在 LG 的主导下,WebOS 经过进一步修改,转变为智能电视操作系统,于是 WebOS TV 就诞生了,此后 LG 的 TV 基本路线定为 webOS ,在应用层面,WebOS TV 以基于 Web 的技术为基础。然后 LG 为什么选择 webOS?
纯前端小游戏,4096小游戏,有音效,Html5,可学习使用
m0_62996549的博客
07-18 435
【代码】纯前端小游戏,4096小游戏,有音效,Html5,可学习使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值