XSS的简单了解

原创 已于 2022-05-31 23:09:53 修改 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #web安全 #安全

于 2022-05-30 22:11:35 首次发布
XSS(跨站脚本攻击)利用JavaScript注入恶意代码,危害包括盗取账号、会话劫持等。常见于用户输入未过滤场景,分为反射型、存储型和DOM型。防御措施包括设置HttpOnly、严格过滤用户输入及使用CSP安全策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

写这玩意儿感觉回到了大学写课设作业

一、XSS的基本了解

XSS 被称为跨站脚本攻击由于和CSS 重名,所以改为XSS。
XSS主要使用javascript,javascript 可以非常灵活的操作html、css和浏览器。
XSS 就是将恶意代码注入到网页中,以达到攻击的效果。
当用户访问被XSS 注入的网页,XSS 代码就会被提取出来
用户浏览器就会解析这段XSS 代码,也就是说用户被攻击了
用户最简单的动作就是使用浏览器上网,并且浏览器中有javascript 解释器,
可以解析javascript,然而浏览器不会判断代码是否恶意。

二、XSS的漏洞危害

盗取各种用户账号
窃取用户Cookie资料,冒充用户身份进入网站
劫持用户会话,执行任意操作
刷流量,执行弹窗广告
传播蠕虫病毒等等

三、XSS易出现场景

微博、留言板、聊天室等等收集用户可输入的地方,
都有遭受XSS 的风险,只要没有对用户的输入进行严格过滤,就会被XSS 。

四、XSS漏洞分类

1.反射型XSS

通过 get 请求发送到后端,后端直接给打印到前端页面上这一过程就称之为反射型 xss
反射型XSS容易出现在搜索框,用户登录处
使用非持久性、参数跨站脚本
可用来会话劫持,钓鱼欺骗等攻击
具体流程如图:
在这里插入图片描述

常用反射型XSS漏洞构造恶意链接发送给受害者,获取他

最低0.47元/天 解锁文章

200万优质内容无限畅学
君倾辞兮
关注
关于XSS的一点理解
Ryanqy的专栏
06-10 405
什么是XSS攻击 XSS,缩写自Cross-Site Scripting,即跨站脚本攻击,是一种注入型攻击方法,也就是攻击者把恶意脚本注入到良性和可信任的网站中。XSS攻击者通常会利用Web应用(通常在浏览器端脚本的form中)发送恶意代码给其他的Web应用用户。XSS的攻击原理就是攻击者使用XSS发送一些恶意的脚本代码给一些未防备的用户,这些用户的浏览器没办法分辨出这些脚本是否应该被信任,并且会...
xss简单渗透测试
10-21
在黑盒测试环境下,攻击者对目标系统内部结构了解有限,需要通过外部观察和测试来定位和利用XSS漏洞。这通常涉及到大量数据包抓取、分析HTTP请求/响应,以及尝试各种可能的输入,直到找到可以被利用的XSS点。 ### ...
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
了解XSS
麦子的博客
04-10 1042
1、什么是XSS? XSS是crosing-site-script的简写,称为跨域脚本攻击 简单来讲就是攻击者想尽方法将可执行代码注入到访问网页中 2、常见的XSS攻击 用人将常见的XSS攻击分为以下几种: 1. **Reflected XSS**(基于反射的XSS攻击) 2. **Stored XSS**(基于存储的XSS攻击) 3. **DOM-based or local XSS**(...
全面防御XSS攻击:原理、实践与JavaScript解决方案
最新发布
chaosweet的博客
06-26 588
Hi,我是布兰妮甜!XSS是OWASP十大Web安全威胁之一,危害严重。本文详解攻击原理与JavaScript防御方案,提供实用代码示例,帮助开发者有效防护。
xss攻击方法简单介绍了解
less_cold的博客
09-18 604
xss是指跨站脚本攻击。就是指将脚本(不限于script)注入到该网站中,从而达到自己的目的。 例如向输入框中输入alert("hello");这样将script注入进去。 所有有输入的地方,如果没有对输入数据进行处理,都会存在xss漏洞。 基于dom的xss攻击,比如获取别人的cookie信息。所以还是不要点开奇奇怪怪的网站和链接的好。 将script脚本写在链接里,从而获取你的
XSS基础了解和解决方案
崔向阳@李晓的博客
07-16 1446
主要内容什么是XSSXSS的危害有哪些?常见的XSS漏洞如何防范XSS? 什么是XSS?跨站脚本攻击(Cross Site Scripting),是一种 Web 应用程序的漏洞,当来自用户的不可信数据被应用程序在没有验证以及反射回浏览器而没有进行编码或转义的情况下进行了处理,导致浏览器引擎执行了代码。 XSS的危害有哪些?盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号控制企业数据...
Web应用安全简单XSS测试脚本(实验).docx
06-19
本实验旨在帮助你了解XSS的基本知识、操作方法以及攻击原理。 ### 一、XSS攻击基础知识 1. **类型**: - 反射型XSS:攻击者的恶意脚本通过URL参数传递,当用户点击链接或者提交包含恶意脚本的表单时,脚本被执行...
XSSPlayground:一个简单的学习XSS的地方
03-25
一个简单的学习XSS的地方。 专为自己学习和帮助他人而设计(请使用!) 免责声明 这是一项正在进行中的作品,会随着时间的推移而变化。 了解您能做到的! 更新 15/03/2021-添加了新的布局,重新设计了xss 1,2,3。 ...
XSS的基本了解
adaosanqian的博客
02-28 1161
xss的基本了解与基础知识,无实战内容,只有理论知识
xss介绍及作用
冷人 菜鸟 的博客
04-06 757
为了防止JavaScript脚本的恶意注入,开发者应该对用户输入进行适当的过滤和转义,确保用户输入的数据在页面中被正确显示而不会被解释为JavaScript代码。为了防止XSS攻击,网站开发者需要对用户输入进行有效的过滤和验证,对输出进行适当的转义,以防止恶意脚本的注入。XSS攻击的原理是攻击者将恶意脚本插入到网页中的用户输入数据中,当其他用户访问包含该恶意脚本的网页时,浏览器会执行这段脚本,从而导致攻击者能够窃取用户的敏感信息、篡改网页内容、劫持用户会话等恶意行为。
XSS能做些什么
积累,在于坚持
01-19 5667
1、Cookie劫持 利用浏览器插件,可以获取请求中的Cookie信息,从获取到的Cookie信息中,读取用户的私密信息。 2、模拟GET、POST请求操作用户的浏览器使用JavaScript模拟浏览器发包 “Cookie劫持”失效时,或者目标用户的网络不能访问互联网等情况下,这种方式非常有用 3、XSS钓鱼 利用JavaScript在当前页面“画出”一
xss的定义
tumi
04-28 578
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问...
xss的原理及利用
qq_54030686的博客
11-15 1186
xss的原理及利用 xss分类 反射型xss 存储型xss DOMxss xss为一段js或者html代码,可直接在html中写入,在数据传输的过程中,未对用户输入的数据进行过滤导致攻击者构造的特殊语句被浏览器解析执行 xss的分类实际上由数据存储的位置决定,反射型xss以及DOM型xss都不写入数据库中,而存储型xss则会写入到数据库中,造成的危害及获取的信息各不相同, 反射型xss 攻击者在参数中加入恶意攻击代码,服务端将数据拼接到html中,返回用户导致反射型xss(局限,只能作用于当前用户) 存储型
44. XSS篇——XSS原理+分类+用途
Fly_鹏程万里
03-20 2208
什么是XSSXSS(Cross Site Script),跨站脚本攻击。它是指恶意攻击者在web页面当中插入恶意的html代码,当用户浏览该页面时,嵌入其中Web页面里面的HTML代码就会执行,从而达到恶意用户的特殊目的。XSS分类XSS攻击可以分为两大类:非持久性XSS攻击:顾名思义,非持久性XSS攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接...
什么是XSS
m0_61869253的博客
01-02 1067
(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是[代码注入]的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言。XSS 分为三种:反射型,存储型和 DOM-based。
XSS知识总结
weixin_64051447的博客
04-26 1846
HTML标签 等带src属性的标签都可以跨域加载资源,而不受同源策略的限制。每次加载时都会由浏览器发送一次GET请求,通过src属性加载的资源,浏览器会限制JavaScript的权限,使其不能读写返回的内容。
XSS的原理分析与解剖
WHACKW的专栏
06-06 1955
xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。 我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的htm
XSS攻击payload脚本字典详解
构造XSS Payload需要了解目标网站的输入处理方式、过滤规则以及输出上下文。攻击者常常使用各种技术手段绕过安全防御措施,例如: - 利用HTML标签属性执行JavaScript代码。 - 使用字符编码绕过过滤,如利用URL编码、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值