基于web站点的xss攻击

最新推荐文章于 2024-05-30 20:36:06 发布
最新推荐文章于 2024-05-30 20:36:06 发布
阅读量542 收藏
点赞数
原文链接:http://www.cnblogs.com/zhuzhubaoya/p/11202642.html
版权

XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSS。

XSS 攻击,通常指黑客通过 HTML 注入 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。在这种行为最初出现之时,所有的演示案例全是跨域行为,所以叫做 "跨站脚本" 。时至今日,随着Web 端功能的复杂化,应用化,是否跨站已经不重要了,但 XSS 这个名字却一直保留下来。

随着 Web 发展迅速发展,JavaScript 通吃前后端,甚至还可以开发APP,所以在产生的应用场景越来越多,越来越复杂的情况下, XSS 愈来愈难统一针对,现在业内达成的共识就是,针对不同的场景而产生的不同 XSS ,需要区分对待。可即便如此,复杂应用仍然是 XSS 滋生的温床,尤其是很多企业实行迅捷开发,一周一版本,两周一大版本的情况下,忽略了安全这一重要属性,一旦遭到攻击,后果将不堪设想。

平台相关例子:

 第三方黑我们网站,把某一个名字改成代码的形式:

系统中任何用户进入网站,能看到这个名字的所有页面中的信息(页面F12后可以看到的所有信息),第三方都可以收到看到获取到。

相关问题对话:

把想要测试的输入框改成以下内容(系统中含有以下字样的页面就会弹出提示框提示xsd,如果弹出提示则有问题(代码生效了),如果 没弹出则没问题):

课程接口1<script>alert("xsd")</script>

 

刚刚提到的第三方可以收到页面中的所有信息,可以理解为页面F12中可以看到的所有信息。

 

转载于:https://www.cnblogs.com/zhuzhubaoya/p/11202642.html

alexlau2016
关注
基于Servlet的web应用如何防止XSS攻击
Cloud-Future的博客
07-31 1294
Servlet 使用jsp作为视图模板,jsp本身存在XSS漏洞,如果Web应用是基于Servlet技术并且使用jsp作为视图模板,也没有引入任何安全框架,那么你的应用就存在XSS漏洞。 本文主要介绍了基于Servlet的web应用如何防止XSS攻击。 1. XSS漏洞的类型 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:<持久化> 代码是存储在服务
xss源码(常用站源码附安装教程).rar
03-10
一份比较齐全的XSS平台源码,里面有部署文档,需要的自取。
XSS跨域攻击web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击web项目中的防范,基于antisamy技术。
XSS原理及防范
weixin_30856965的博客
12-16 368
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点XSS防范方法 1.代码里对用户输入的地方和...
【基本功】 前端安全系列之一:如何防止XSS攻击
美团技术团队
09-27 3205
总第287篇2018年 第79篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,这次是一个系列,一起来学习前端安全的那些事。我们将不断梳理常见的...
web攻击XSS
basycai的博客
07-28 1548
from: http://ifeve.com/javaee-http-2/# http://www.2cto.com/Article/201209/156182.html http://blog.youkuaiyun.com/ghsau/article/details/17027893 1.有哪些攻击Xss(cross-site scripting)攻击指的是攻击者往Web
常见的Web攻击手段——XSS攻击
weixin_34050519的博客
05-20 463
2019独角兽企业重金招聘Python工程师标准>>> ...
Web应用程序中XSS攻击的检测:一种机器学习方法-研究论文
05-20
Web应用程序安全风险抵御XSS攻击的传统方法包括基于硬件和软件的Web应用程序防火墙,其中大多数它们是基于规则和签名的。 通过模糊攻击负载,可以绕过基于规则和基于签名的Web应用程序防火墙。 因此,基于规则和基于...
前端安全之XSS攻击
02-25
分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击...
WEB——XSS注入
yxl_d的博客
07-10 699
前记 XSS攻击 通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 ...
web安全之XSS攻击原理及防范
kirinlau的专栏
01-10 1395
攻击者通过操纵DOM结构,诱导浏览器执行恶意脚本,这种攻击也是我们比较常见,也是比较隐蔽的,因为攻击者不需要在服务器端插入恶意脚本。:反射型XSS攻击是一种非持久性的攻击,它发生在恶意脚本从服务器端反射到客户端的过程中,通常涉及到用户通过点击一个链接或访问一个页面时,服务器端未经充分验证和转义的输入被直接输出到HTML中。:又称为持久性xss,这种攻击一般在第三方欺诈网站上,恶意脚本存储于服务器端,如数据库、消息论坛等,当用户请求一个包含恶意脚本的页面时,服务器将恶意脚本发送给用户,执行攻击
HTML 事件
weixin_30325487的博客
02-11 234
1、HTML 全局事件属性   HTML4 的新特性之一就是可以使 HTML 事件触发浏览器中的行为,比方说当用户点击某个 HTML 元素时启动一段 JavaScript,在 HTML5 中还增加了一些新的事件属性。   HTML 事件就是发生在 HTML 元素上的事情。当在 HTML 页面中使用 JavaScript 时, JavaScript 就可以触发这些事件。HTML 事件可以是浏览器...
XSS攻击简单实例
绝圣弃智-零的博客
03-25 4210
下面演示一个简单的留言板攻击实例 我们有个页面用于允许用户发表留言,然后在页面底部显示留言列表 前端代码如下: <!DOCTYPE html><html><head> <?php include('/components/headerinclude.php');?></head> <style type=...
XSS跨站介绍
qq_25899635的博客
05-23 318
什么是XSS?   XSS(cross-site scripting)跨站脚本一直被OWASP组织认为是十大安全漏洞之一。   XSS向用户浏览的页面中注入HTML/Javascript脚本,当用户浏览恶意网页时,浏览器会不加验证的执行HTML和Javascript脚本。从而造成Cookie资料窃取、会话劫持、钓鱼欺骗等威胁。   XSS(为了区分CSS)跨站脚本本身不针对服务器,只是借助网站传播...
XSS数据接收平台
jijisaq的博客
05-30 1434
公众号:【吉吉说安全】,对我发消息【20240517】免费获取免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。
【漏洞学习——XSS】华为某站点存储XSS
Fly_鹏程万里
02-22 665
漏洞细节 华为爱旅http://www.hwtrip.com/ 随便下个订单 在订单信息的联系人处 提交订单,查看订单信息触发XSS 估计订单会有后台的人员管理,上XSS脚本,打到了管理员:   参见:https://bugs.shuimugan.com/bug/view?bug_no=93570...
xss跨站脚本攻击_记一次XSS跨站脚本攻击实例
weixin_39827036的博客
11-29 338
2020年3月4日,发现公司官网第一次访问后跳转到腾讯云的付款界面,见图1,之后再次访问,页面正常,不再跳转(看来木马还想隐蔽),处于职业警觉性,怀疑网站被挂马,于是开始了分析之路。为了还原过程,下述内容均在测试环境中运行。 图一1、由于服务器近日有外人登录做部署,怀疑服务器被黑,于是登录服务器检查,一切正常,查看站点下其他网站,没有发现此类现象,于是排除服务器被挂马,IIS站点正常,排除IIS被...
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 8580
平台的网址是:链接:XSS在线平台。
基于dom的xss攻击
最新发布
01-17
### 基于DOM的XSS攻击原理 基于DOM的跨站脚本攻击(DOM XSS),是指攻击者通过操纵文档对象模型(DOM),而非服务器响应的内容,向Web应用程序注入恶意脚本。这种类型的攻击发生在客户端浏览器环境中,其中JavaScript代码读取某些不受信任的数据源,并将其直接嵌入到HTML文档流中而不经过适当的安全处理[^3]。 具体来说,在DOM型XSS中,攻击者可以通过构造特殊的URL参数、Hash片段或是其他可以影响页面内DOM属性的方式引入未被正确验证或编码过的输入。一旦这些未经净化的数据作为动态内容更新到了现有网页结构里,则可能触发浏览器执行这段潜在危险的JavaScript代码[^1]。 例如,考虑如下简单案例: ```html <script> document.write(location.hash.slice(1)); </script> ``` 如果访问`http://example.com/#<img src=x onerror=alert('XSS')>`这样的链接,那么上述代码将会把哈希部分当作纯文本写回到页面上并被执行,弹出警告框显示'XSS'。 ### 防护方法 为了有效防止DOM型XSS的发生,开发者应当遵循以下原则: - **避免使用不安全的方法**:尽量减少对像 `document.write()` 这样容易引发风险函数的应用;对于任何来自外部不可控渠道的信息都应谨慎对待。 - **严格控制数据流向**:确保所有由用户提交过来的数据都不会不经审查就被用于构建新的DOM节点或者改变已有元素的状态。特别是要注意那些能够间接引起重新渲染操作的地方,比如设置`innerHTML`, `outerHTML` 属性等。 - **实施上下文敏感输出编码**:依据最终呈现位置的不同采取相应的字符实体转换策略。例如,在HTML标签内部应该采用HTML实体编码;而在JavaScript字符串里面则需转义反斜杠(`\`)、单引号(`'`)以及双引号(`"`)[^2]。 - **运用Content Security Policy (CSP)**:这是一种HTTP头字段机制,允许站点管理员定义哪些资源是可以加载和执行的规则集。启用合适的CSP配置可以帮助阻止大多数形式的XSS尝试,即使存在一些编程上的疏忽也能起到额外保护作用[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值