WEB十大漏洞之xss漏洞

原创 已于 2025-08-04 21:23:47 修改 · 755 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端

于 2025-07-14 22:45:45 首次发布

XSS:跨站脚本攻击又,叫CSS(Cross Site Script)跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的

我们在学习xss漏洞之前,先来了解一下客户端浏览器与服务器传输http请求方式,常用的http有以下方式

一,http请求方式

GET

请求从服务器获取资源
HEAD
类似于GET请求,只不过不会返回实体数据,只
获取报头
POST
向服务器提交数据
PUT
替换服务器的内容
还有以下方式
当我们的浏览器向服务器发送请求时,会发出这样一个请求头
服务器接收到浏览器请求时,会回应这样一个响应头
这样的http传输模式他的特点非常的灵活,并且传输方式可靠,无状态
二,cookie的产生
1.我们在登录一个网站的时候,每次请求是独立的,需要我们鉴定身份和保持会话,输入密码和用户名以后,关闭这个窗口,第二次进入的时候,会不用输入密码和用户,这就是cookie,避免重复的登录引起繁琐操作。
2.他的实习是由服务端给客户端下发标识,cookie
key/value格式的文本
name=wuya
id=99
3.产生流程
浏览器第一次访问 --服务器在响应中通过Set-Cookie头字段,下发 Cookie
浏览器保存在本地 --硬盘 有过期时间的Cookie
C:\Users\15542\AppData\Local\Google\
Chrome\User Data\Default\
内存 ----没有过期时间的临时Cookie,退出浏览器即失效
浏览器随后访问 ----在请求头中用Cookie字段发给服务器
3客户端cookie如下属性
(1)name=value    一个name/value,就是一个cookiename/
value这个是必须的,其他的都是可选的。如果
name重复,只取第一个
(2)expires
cookie的过期时间(格林尼治时间),超过这个
时间,cookie就会失效。如果不设置,代表是临
时的cookiecookie在浏览器关闭的时候就失效
了。
(3)max-age
expires作用相同,用来告诉浏览器此cookie
多久过期(单位是秒)。max-age的优先级高于
expires
(4)domain
cookie对哪个域名生效。如果没有设置,就设置
为服务器的域名。如果是临时的cookie,就不能
设置domain
比如.baidu.com,百度所有的子站都可以使用。
zhidao.baidu.com只能百度知道使用。
Cookie具有不可跨域名性。这个是由浏览器保证
的,google服务器不能修改baiducookie
(5)path
除了匹配域名,还可以具体匹配到路径,如果域
名和路径都匹配,那这个cookie就会起作用。
如果是/,这个服务器所有的路径都可以使用这
cookie。如果没有设置,那个路径响应,path
就是哪个值
(6)secure
只有HTTPS连接,才发送cookie到服务器
(7)httponly
告知浏览器不允许通过脚本document.cookie
更改这个值,同样这个值在document.cookie
也不可见
4.Cookie特点     明文       可修改     比如火狐浏览器      大小受限
cookie的用途   保持会话     记住密码       跟踪用户行为
三、session
四、通过js操作cookie
五、写xss脚本注入网页
1、
定义 :恶意攻击者利用web页面的漏洞,插入一些恶意
代码,当用户访问页面的时候,代码就会执行,
这个时候就达到了攻击的目的。
除了JavaScript之外,这个脚本也可以是Java
VBScriptActiveXFlash等等
2、xss类型分为反射型(DOM)和存储型
                          
反射型xss攻击会将带有js脚本的链接发给其他人,而受害者点击链接,xss攻击就发生了
而存储型的危害就很大,一般想一些留言板地方有链接后台数据库,攻击者将脚本注入网页之中,每当其他人访问这个页面时,从数据库返回来的页面带有恶意代码,都会收到攻击。
六、一些xss平台
1.在pikachu靶场中,有如下类型
而在pikachu靶场中下方有pkxss管理后台,可以进行如下方式
2.在我们的kali系统有beef-xss平台
输入beef-xss就会启动,如果没有安装,会提示输入(N/y)输入y就会自动安装
当我们启动beef-xss后
会自动打开浏览器来到后台页面,默认用户名beef  密码123456
下面两个地方就是payload,其中需要将127.0.0.1改为自己kali的地址
这个就是可以将这个注入到pikachu平台里面,这样我们就可以在beef后台管理页面看到
3还有一些其他在线xss平台,这里就不细说了,和pikachu是一样的
七、xss的检测
1、我们的一些手动测试payload
2、同样也是kali系统里面的工具,xsser,他可以同时自动进行post和get请求测试方式
可以通过xsser -h知道里面一些参数
我们的检测接口如下,这里是我自己kali系统里面的靶场dvwa
还可以通过搜索引擎语法
最后一种是图形化
在kali系统里面输入xsser --gtk
3.第三个是XSSStrike,这里不做过多介绍,需要安装Python,在github上有
八、关于xss的防御
1.我们在一些靶场中可以看到,他的防御方式可以通过替换大小写。
2.安装waf防火墙,对一些的内容进行过滤。
3.使用htmlentities,将输入内容实体化,避免攻击发生。
九、最后就是xss闯关游戏xss-lab
在下一期我会出闯关教程
沐苏瑶
关注
JAVA WEBXSS漏洞详解及防御措施
洛阳泰山的博客
09-06 2728
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
web安全漏洞xss(1)
2402_87039650的博客
11-07 1047
跨站脚本的缩写,是一种网站应用程序的安全漏洞,代码注入的一种,允许将代码注入网页,通常包含HTML和用户端脚本语言xss通常指利用网站开发时留下的漏洞,巧妙注入恶意指令代码到网页,这些恶意的网页程序通常是Javascript,但实际上可以包含Java 普通的HTML等。成功后,可能得到更高的权限,私密的网页内容等。
常见的Web安全漏洞——XSS
Carson073的博客
11-28 1281
跨站脚本攻击(XSS),指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作。
Web 安全漏洞XSS 攻击
白帽子凯哥聊黑客
05-13 915
XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的。常见的 XSS 攻击有三种:反射型、DOM-based 型、存储型。其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击。
web常见漏洞——XSS
m0_64365018的博客
08-17 1617
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等,xss又分为了三种类型分别为存储型反射型DOM型。
web漏洞-XSS
qq_21193587的博客
05-31 4963
XSS 漏洞介绍 XSS 攻击是指在网页中嵌入一段恶意的客户端 Js 脚本代码片段,JS 脚本恶意代码可以获取用户的 Cookie、URL 跳转、内容篡改、会话劫持……等。 漏洞危害 xss 攻击手段本身对服务端没有直接的危害,xss 主要是借助网站传播;一般通过留言板、邮件、等其他途径向受害者发送一段恶意的 URL,受害者通过访问该恶意 URL 可能会导致恶意的 xss 脚步会在受害者的客户端浏览器中执行,实现自己的目的 漏洞原理 XSS 的攻击类别分为:反射型、存储型、DOM 型等三大类攻击类别。 反射
渗透测试漏洞XSS漏洞
weixin_50651979的博客
04-07 1207
2、存储型XSS,持久性XSSS,存储型XSS是最危险的一种跨站脚本漏洞,当攻击者提交一段代码后,被服务端接收并存储,当攻击者或用户再次访问某个页面时,这段XSS代码被程序读出来响应给浏览器,造成XSS跨站攻击。1、反射型XSS 非持久性XSS(一次性),当用户访问一个带有XSS代码 的HTML请求时,服务端接收后处理,然后把带有XSS的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,造成XSS漏洞。:存储型XSS漏洞,由于其持久化特性,容易造成蠕虫病毒的传播,进一步扩大攻击范围。
Web的基本漏洞--XSS漏洞
尽欢
05-31 4355
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
web漏洞-xss漏洞
qq_44312640的博客
11-10 1588
介绍xss漏洞的产生原因、危害、分类、防护,xss平台介绍、beef工具介绍及xss-labs漏洞靶场演示等。
Web安全测试常见漏洞-XSS
m0_57098592的博客
08-31 1232
Web安全测试常见漏洞-XSS
web十大漏洞xss注入靶场文件
11-13
对于初学者而言,通过靶场文件来实践XSS攻击方法,可以加深对XSS漏洞产生原因和利用方式的理解,同时也能够学习如何对已知的XSS漏洞进行修复。 XSS攻击是web安全领域中的一项重要课题,对于网站管理员和开发者来说...
精选资源
web漏洞XSS_TEST漏洞实践练习代码
04-25
Web漏洞中的XSS(Cross Site Scripting)攻击是一种常见的安全问题,主要针对Web应用程序。XSS允许攻击者在用户浏览器中注入恶意脚本,从而控制用户的会话、窃取敏感信息或者执行其他恶意操作。本资源"XSS_TEST漏洞...
精选资源
95-web漏洞XSS漏洞挖掘.pdf
03-15
95-web漏洞XSS漏洞挖掘
精选资源
Web常见十大漏洞.pdf
03-30
SQL注入攻击是Web应用程序中最常见的安全漏洞之一,它是指攻击者通过输入恶意的SQL代码,来访问或控制数据库的行为。这种攻击可以导致数据的泄露、修改或删除等严重的后果。 防范SQL注入攻击的方法: * 使用参数化...
XSS挑战赛实战演练
m0_63085970的博客
12-14 632
掌握基础xss漏洞绕过的实战
XSS 跨站脚本攻击:3 种类型(存储型 / 反射型 / DOM 型)原理以 DVWA 靶场举例
m0_73165198的博客
12-17 1089
本文从基础原理出发,拆解了反射型、存储型、DOM 型三种 XSS 攻击的核心逻辑与攻击链路,并基于 DVWA 靶场完成了 Low级别的实战复现。通过代码审计发现,低级别防护的核心缺陷是 “无过滤 / 简单字符串替换”,导致基础 Payload 可直接生效。基础级防御的核心是 “输入验证 + 输出编码”,配合 CSP 策略可大幅降低 XSS 风险。本文仅覆盖 XSS 基础原理与靶场实操,未涉及高级绕过、框架级防御等内容,旨在帮助入门者理解 XSS 的本质与基础防护思路。
Pikachu | XSS
qq_44846097的博客
12-16 766
Pikachu不同xss注入类型渗透测试笔记
DVWA -XSS(DOM)-通关教程-完结
刘箫-技术库
12-16 731
本文介绍了DVWA靶场中DOM型XSS攻击的三种难度级别实战方法。在Low级别中,直接使用<script>标签注入恶意脚本即可获取用户Cookie;Medium级别通过闭合select标签并利用SVG事件绕过过滤;High级别则利用URI片段技术避免服务器检测,成功窃取Cookie。文章详细展示了从简单到复杂的XSS攻击手法,包括启动HTTP服务器接收Cookie的完整过程,揭示了DOM型XSS攻击的原理和防御难点。
从头说下DOM XSS
最新发布
二狗学网安
12-17 258
domxss演示 从0开始复现
WEB漏洞深度剖析:SQL注入与XSS攻击
1. SQL注入:SQL注入是最常见的WEB漏洞之一,通常是由于动态SQL语句的不当拼接导致的。攻击者可以通过输入恶意的SQL代码来获取、修改或删除数据库中的数据。例如,一个简单的注入攻击是利用"admin' or '=' '作为...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值