什么是XSS跨站脚本攻击?

最新推荐文章于 2023-08-18 14:02:33 发布
最新推荐文章于 2023-08-18 14:02:33 发布
阅读量322 收藏
点赞数
分类专栏: web安全渗透测试(Kali)专栏连载 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang520java/article/details/119677663
版权

1. 什么是XSS攻击

   跨站脚本攻击(Cross Site Scripting)本来的缩写为CSS,为了与层叠样式表(Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS。因此XSS是跨站脚本的意思。

XSS跨站脚本攻击(Cross Site Scripting),的本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。比如读取cookie,session,tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈等。比较经典的事故有:

2011年6月28日,新浪微博被XSS攻击,大量用户自动转发微博、私信。自动关注用户,大量用户被莫名其妙地控制。因为可以使用JS代码代替用户单击按钮发送请求,所以损坏非常大。

1.1 XSS攻击的危害

  •  通过 document.cookie 盗取 cookie中的信息

  • 使用 js或 css破坏页面正常的结构与样式

  • 流量劫持(通过访问某段具有 window.location.href 定位到其他页面)<

了解本专栏 订阅专栏 解锁全文 超级会员免费看
魔都性能自动化AuricChan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
XSS跨站脚本攻击
01-27
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。XSS攻击的危害包括:1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力3、盗窃企业重要的具
SSLStrip 终极版 —— location 劫持
swordheart的博客
04-25 1230
0x00 前言 之前介绍了HTTPS 前端劫持的方案,虽然很有趣,然而现实却并不理想。其唯一、也是最大的缺陷,就是无法阻止脚本跳转。若是没有这个缺陷,那就非常完美了 —— 当然也就没有必要写这篇文章了。 说到底,还是因为无法重写location这个对象 —— 它是脚本跳转的唯一渠道。尽管也流传一些 Hack 能勉强实现,但终究是不靠谱的。 事实上,在最近封稿的 HTML5 标准里,已非常明确了location的地位 —— Unforgeable。 这是个不幸的消息。不过也是件好事,让...
【网络安全】给你讲清楚什么是XSS攻击
代码小牛的博客
10-10 955
1. 什么是XSS攻击时光小说 www.youxs.org 跨站脚本攻击(Cross Site Scripting)本来的缩写为CSS,为了与层叠样式表(Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS。因此XSS跨站脚本的意思。 XSS跨站脚本攻击(Cross Site Scripting),的本质是攻击者在web页面插入恶意的scri...
Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
网络安全领域___专研者.
03-18 3790
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
XSS攻击详解
weixin_47450807的博客
03-01 3万+
本篇博客主要总结一下什么是XSS攻击,并且如何防范XSS攻击。 一、什么是XSS攻击 XSS攻击中文名称为:跨站脚本攻击XSS的重点不在于跨站,而在于脚本的攻击。 XSS攻击的工作原理:攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌套在该页面的代码就会执行,因此会达到攻击用户的目的。 XSS的分类:XSS攻击最主要分为如下几类,反射型,存储型,DOM-based型。反射型和DOM-based型可以归类于非持久性XSS攻击。存储型可以归类于持久性XSS攻击。 二、反射型
解决个别浏览器在使用window.location.href跳转时,如果遇到某些安全限制,会对跳转的URL进行编码,导致跳转到一个编码后的URL
最新发布
cm2010_03_31的博客
08-18 1571
有一个网页https://www.e.cn/EE/a,进入网页以后直接运行window.location.href=https://www.b.cn/aa/bb,测试是可以正常跳转的,但是个别用户比如使用了360浏览器,在有些情况下会跳转到https://www.e.cn/EE/https%3A%2F%2Fwww.b.cn%2Faa%2Fbb,导致没有跳转成功访问失败。使用decodeURIComponent()函数对跳转的URL进行解码,以确保URL被正确地跳转。
搜索引擎返回劫持代码使用方法
weixin_34198762的博客
08-08 359
代码简介:搜索引擎劫持代码是由作者使用JavaScript所写,通过手机浏览器可以让访问用户通过SEM或者SEO的搜索引擎快照进入网页点击返回按键时启用,可以直接瞬间返回到指定网址,从而达到搜索引擎劫持效果。代码作者:陈安太作者微信:2250090225源码分享://版权所有:陈安太 //作者扣扣:2250090225 //返回劫持 varhash=window....
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击-运维安全详细笔记
什么是 XSS攻击?
qq_38062965的博客
02-28 405
本文对 XSS 的定义、原理、攻防 等知识点进行介绍,希望能给大家带来新的启发~
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
常见的前端安全问题(xss / csrf / sql / ddos / cdn...)
Lyrelion的博客
11-26 2119
常见的前端安全问题(xss / csrf / sql / ddos / cdn...)
Cross-Site Scripting: DOM
牟云飞的博客
11-16 2379
Xss有经过后台,也有不经过后台的,在处理经过后台的Xss攻击时我们通过增加filter进行过滤,验证特殊字符、验证refer等方式,但是Dom型的xss参数的是不经过后台的,在后台处理没用。起初这个例子似乎是不会轻易遭受攻击的。毕竟,有谁会输入导致恶意代码的 URL,并且还在自己的电脑上运行呢?真正的危险在于攻击者会创建恶意的 URL,然后采用电子邮件或者社会工程的欺骗手段诱使受害者访问此 URL 的链接。当受害者单击这个链接时,他们不知不觉地通过易受攻击的网络应用程序,将恶意内容带到了自己的电脑中。..
web安全测试之 xss攻击
weixin_30666753的博客
06-27 620
一、 背景知识 1、 什么是 XSS 攻击? XSS 攻击: 跨站脚本攻击(Cross Site Scripting) , 为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 故将跨站脚本攻击缩写为 XSS跨站脚本攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式, 所以容易被忽略其危害性。 其原理是攻击者在网页中嵌入...
什么是XSS攻击?
weixin_40851188的博客
04-18 1万+
网络千万条,安全第一条。网安不规范,网站都完蛋! 前端工程师接触最多的漏洞我想就是 XSS 漏洞了,然鹅并不是所有的同学对其都有一个清晰的认识。这篇文章将带领大家认清XSS攻击,以及对于XSS攻击该如何防范。 什么是XSS攻击? XSS攻击指的是: 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执...
关于 window.location.href()这个页面跳转方法
weixin_44240448的博客
04-06 2098
window.location.href()当前窗口跳转到目标页面的方法小结
pikachu之Cross-Site-Scripting
Alsn86的博客
11-23 3878
pikachu之Cross-Site-Scripting 反射型xss(get) 抓包情况 使用123</p><script>alert(666)</script>可以完成闭合 由于输入框的输入长度有限制,所以修改为100,或者直接在get参数里输入也可以 弹窗 反射性xss(post) 先用admin/123456登陆一下系统,为了获得cookie,如果想要尝试,可以在xss完成后插入beef的恶意代码来获取cookie 抓包查看 使用123</p&
浏览器拦截新窗口问题的解决方案和优化方案
RJ0024的博客
11-02 659
浏览器拦截新窗口问题总结 一般情况下,对于用户正常操作手动触发的a标签、window.open、form表单提交等方式打开新窗口时是不会被浏览器拦截的,可以正常的打开。但是由于业务需求当我们需要在异步的程序中去打开新窗口时,由于浏览器的安全机制,用户未始终允许的情况下,可能会触发到浏览器拦截,无法正常直接弹出。 几种打开新窗口的方式 1.window.open() 2.创建a标签target=_blank,手动触发a.click() 3.创建form表单,手动触发form.submit() 解决方法
什么是XSS跨站脚本漏洞?如何防范?
04-03
XSS(Cross-Site Scripting)跨站脚本漏洞是一种常见的Web安全漏洞,攻击者通过在Web应用程序中插入恶意脚本,使用户在浏览器端执行这些脚本,从而达到攻击目的。 攻击者通常通过输入框、评论区、搜索框等用户可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

魔都性能自动化AuricChan

打赏后可获得更全的技术资料!!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值