WEB攻击手段及防御第1篇-XSS

最新推荐文章于 2022-11-08 21:13:11 发布
最新推荐文章于 2022-11-08 21:13:11 发布
阅读量456 收藏
点赞数
分类专栏: Web 安全 xss 文章标签: web 安全
Web 同时被 3 个专栏收录
111 篇文章 1 订阅
订阅专栏
安全
15 篇文章 0 订阅
订阅专栏
xss
2 篇文章 0 订阅
订阅专栏

 

概念

XSS全称为Cross Site Script,即跨站点脚本攻击,XSS攻击是最为普遍且中招率最多的web攻击方式,一般攻击者通过在网页恶意植入攻击脚本来篡改网页,在用户浏览网页时就能执行恶意的操作,像html、css、img都有可能被攻击。

像前不久微信貌似就中招,好像是在朋友圈发送一个带有脚本的链接,然后通过点击该链接就会弹出一个提示,虽然没有造成什么影响,但这是XSS攻击最鲜明的特点。

 

分类

XSS现在主要分为以下两种攻击类型:

1、反射型漏洞

这种类型攻击者一般通过在网页中嵌入含有恶意攻击脚本的链接,或者通过发送带脚本的链接给受害者,这个脚本链接是攻击者自己的服务器,用户通过点击该链接就能达到攻击的目的。如http://www.test.com/p=<script src=... />,这样受害者的网页就嵌入了这段脚本,受害者通过点击链接触发攻击脚本。

新浪微博曾经就出现过一次较为严重的XSS攻击事件,攻击者通过发送一个带有链接的微博诱导用户点击,通过点击脚本链接大量用户自动发送某些不良信息和私信并自动关注攻击者的微博账号,这是典型的反射型漏洞。

这次新浪微博事件显然是一次推广营销而已,并没有严重影响新浪的服务,然而现实中攻击者可以通过窃取用户cookie获取用户名密码等重要信息来伪造用户交易、窃取用户的财产等影响用户财产安全的恶意行为。

 

2、存储型漏洞

这种类型是影响最为广泛的且危害网站安全自身的攻击方式,攻击者通过上传恶意脚本到网站服务器或保存到数据库中,恶意脚本就会包含在网页中,这样会导致所有浏览该网页的用户有中招的可能。这种攻击类型一般常见在博客、论坛等网站中。

 

防御手段

1、危险字符过滤

即对用户输入的危险字符进行转义,如>转义为"&gt",<转义为"&lt" ,如果被转义有误解,可以对<script src=..这种类型的<才进行转义,这样就能避免大部分的XSS攻击。

 

2、使用http only的cookie

httpOnly由微软在IE中提出,禁止用户在浏览器中通过脚本访问带有httpOnly的cookie。有了这个特性,如果是用户敏感信息保存在cookie中的,可以通过在cookie加下httpOnly属性避免XSS攻击cookie造成用户信息泄漏。

 

最后,虽然这些攻击方式都有对应的防御手段,但是这些攻击方式也有日异月新的变化和发展,在开发web项目时也一定要重视XSS脚本攻击带来的危害,及时加强防御,不要让攻击有可乘之机。

zl1zl2zl3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5分钟科普CSRF攻击防御Web安全的第一防线
02-25
目录:一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常...
网络安全-跨站脚本攻击(XSS)的原理、攻击防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
【网络安全】使用meterpreter进行远控、Mysql注入、反弹型XSS攻防
KiriSoyer
11-08 400
在Win7-1(攻击机)的C:\wamp\www 目录下新建一个文件 xss_hacker.php。设置DVWA Security为“Low” 打开XSS(Reflected)输入。在Win7-2(受害主机)中打开DVWA主页 以管理员admin登陆系统。在Win7-1中使用普通用户登录 gordonb 密码 abc123。Win7-1(安装好WampServer)输入 单击submit。
SpringBoot使用mica-xss防止Xss攻击
lixianhe的博客
08-29 1万+
SpringBoot使用mica-xss防止Xss攻击
Spring-Cloud-Gateway之代码注入漏洞及解决
qq_34905631的博客
09-27 6216
Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。Spring官方博客发布了一关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击攻击者可以发送特制的恶意请求,从而远程执行任意代码
spring cloud WebFlux gateway 解决跨域问题
dingdeyangvip123的博客
09-21 1553
跨域问题对于后端来说已经不是什么新鲜的事,传统gataway跨域网上有很多解决办法和实现方案比如1.在yml中添加 spring: cloud: gateway: globalcors: corsConfigurations: '[/**]': allow-credentials: true allowedOrigins: "*" allowedMethods: "*" ...
XSS跨站脚本攻击剖析与防御
04-28
第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击...
XSS跨站脚本攻击剖析与防御.pdf
05-16
第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击...
XSS跨站脚本gj剖析与防御.pdf
05-13
第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击...
Web应用安全:浏览器的如何防御攻击.pptx
06-20
浏览器的如何防御攻击 常见的浏览器攻击方式 常见的浏览器攻击方式分为两种: 1、CSRF(跨站请求伪造) 2、XSS(跨站脚本分析) CSRF(跨站请求伪造) CSRF 英文全称是 Cross-site request forgery,是指黑客引诱...
Web安全第8讲 - XSS攻击(上)
Yauger的博客
02-22 466
一、XSS跨站脚本分类 跨站脚本攻击(Cross Site Scripting),为了不和 层叠样式表(Cascading Style Sheets ) 的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该 页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的 1.1 cookie介绍(相当于一个通行证) 由于HTTP...
Spring Cloud Gateway 实现XSS、SQL注入拦截
BUG指挥课堂
04-06 4373
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
网络安全学习第8 - xss攻击(java实现反射型xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
一清道长的个人博客
05-14 3912
请依据课堂所讲解的关于XSS攻防的技术知识,结合你所学过的Web前端编程技术,自行设计一套XSS攻防流程。要求: 1、攻防技术的实现既要有深度也要有广度。 2、需要设计一个前端页面。 3、提交时请提交实验报告以及Web前端代码。 实验文件.rar (1)什么是xss? 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出...
Web安全XSS攻防
Hei, Welcome To vickie's Blog,Good Good Study, Day Day Up ~
04-18 4万+
Web安全XSS攻防 1. XSS的定义 2. XSS的原理 3. XSS攻击方式 4. XSS防御措施 5.一个简单的XSS攻击演示
XSS原理及防范
weixin_30856965的博客
12-16 319
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。 XSS防范方法 1.代码里对用户输入的地方和...
springboot 防御XSS 攻击的简单实现
july_young的博客
11-02 3623
import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; /** * xss过滤器 */ @WebFilter(filterName="xssFilter",urlPa...
JAVA WEB项目解决XSS攻击的办法
02-27 2883
记一次JAVA WEB项目解决XSS攻击的办法(亲测有效) Posted on2019-03-01 13:22zkongbai 阅读(4381) 评论(4)编辑收藏 什么是XSS攻击     简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说 系统架构主要是SSM框架,服务层另外使用了DubboX.     为啥说这个,因为SpringMVC对于Xs...
web安全之kali-xss-beef剑心哥哥
最新发布
12-24
BeEF(浏览器控制框架)是一个用于检测和利用Web浏览器漏洞的工具,可以用于执行XSS攻击,获取用户浏览器的信息和控制用户的浏览器。在Kali Linux中结合使用XSS和BeEF可以实现对网站的全面安全检测和攻击。 “剑心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值