Cross-SiteScripting(XSS)跨站脚本攻击

最新推荐文章于 2025-06-05 09:31:37 发布
最新推荐文章于 2025-06-05 09:31:37 发布
阅读量2.3k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/github_37216944/article/details/79054152
本文详细介绍了XSS(Cross Site Scripting)跨站脚本攻击的原理,包括存储型、反射型和DOM型XSS,并阐述了XSS攻击的危害,如挂马、盗取Cookie等。同时,还提到了攻击者如何通过搭建Web服务器来接收Cookie以实现攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0X00 原理

XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。

0X01 分类

根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。

DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面,如果这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS。DOM型XSS可能是存储型,也有可能是反射型。

DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。

0X02 危害

关于XSS有关危害,我这里中罗列一段列表,详细介绍不进行更多的赘述:

  • 挂马
  • 盗取用户Cookie。
  • DOS(拒绝服务)客户端浏览器。
  • 钓鱼攻击,高级的钓鱼技巧。
  • 删除目标文章、恶意篡改数据、嫁祸。
  • 劫持用户Web行为,甚至进一步渗透内网。
  • 爆发Web2.0蠕虫。
  • 蠕虫式的DDoS攻击。
  • 蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据
  • 其它安全问题
0X03 反射型的XSS。

没有经过数据库存储,只能一次性利用的XSS漏洞。
如GET请求:

最低0.47元/天 解锁文章

200万优质内容无限畅学
Cross-Site Scripting-跨站脚本攻击
田田云逸的博客
04-28 740
#' onclick=alert('jwt') '</a>闭合后:<a href="#" onclick="alert(1399)">#' onclick='alert(1399)
Xss跨站脚本攻击Cross Site Script)
xuyunpeng3189的博客
01-22 1087
原理: XSS攻击的核心思想就是在HTML页面中注入恶意代码服务器过滤不严格导致攻击者输入的恶意js代码被web前端执行XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览 危害: 获取管理员cookie/提权,网站篡改,敏感信息泄露,钓鱼,网站挂马,客户端攻击,传播蠕虫 防御: 对用户输入和web输出均进行过滤,过滤特殊字符,",#,特殊标签,JS动作等等;限制用户输入数据的类型/长度;黑白名单;通过使cookie和系统IP绑定,来降低cookie泄露后的危险;httponly:禁
Cross-site scripting
weixin_34367845的博客
12-03 628
https://en.wikipedia.org/wiki/Cross-site_scripting Definition Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications. XSS enables attackers to i...
发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!
最新发布
Python84310366的博客
06-05 940
XSS攻击,全称为跨站脚本攻击Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。
(原创)攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)
weixin_34032621的博客
09-06 497
声明:本文仅供学习研究之用,对于本文提到的某些网站的XSS漏洞,请读者发扬高尚的人道主义精神不要去危害他人,同时希望相应的网站能够尽快修补XSS漏洞。 简介 XSS又叫CSS (Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同...
网络攻击技术()——Cross-site scripting
stilling2006的专栏
01-21 6596
http://www.oschina.net/question/565065_57506 1.1.1 摘要 在本系列的第一篇博文中,我向大家介绍了SQL Injection常用的攻击和防范的技术。这个漏洞可以导致一些非常严重的后果,但幸运的是我们可以通过限制用户数据库的权限、使用参数化的SQL语句或使用ORM等技术来防范SQL Injection的发生,接来了要向大家介绍Cross-s
Cross-Site ScriptingXSS)简介
weixin_30784945的博客
07-13 351
  最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。   在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。   而在本篇文章中,我们将一步一步深入挖掘XSS的攻击流程,攻击手段,以及防御方法等各个方面。 XSS示...
跨站式脚本(Cross-SiteScripting)XSS攻击原理分析第1/4页
10-30
XSS又叫CSS (Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
跨站脚本攻击XSS):原理、案例分析与综合防御策略
m0_61532714的博客
06-12 1381
通过深入理解XSS的攻击原理及其潜在影响,开发者和可靠从业者可以采取有效的防御措施来保护Web应用程序的可靠。多层次的综合防御策略,包括输入验证、输出编码、内容可靠策略和HTTP头部可靠配置,是防范XSS攻击的关键。XSS攻击的核心在于利用Web应用程序对用户输入处理不当,将恶意脚本注入到页面中,使得这些脚本在用户浏览该页面时被执行。存储型XSS攻击是指攻击者将恶意脚本存储在目标服务器的数据库中,当其他用户访问包含该恶意脚本的页面时,脚本被执行。对输出到页面的数据进行编码,防止恶意脚本执行。
前端安全(3):预防跨站脚本(Cross-Site ScriptingXSS
imagine_tion的博客
12-10 2701
一、如何预防XSS XSS 攻击有两⼤要素: 攻击者提交恶意代码。 浏览器执⾏恶意代码。 针对第⼀个要素:我们是否能够在⽤户输⼊的过程,过滤掉⽤户输⼊的恶意代码呢? 输入过滤 在⽤户提交时,由前端过滤输⼊,然后提交到后端。这样做是否可⾏呢? 答案是不可⾏。⼀旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。 那么,换⼀个过滤时机:后端在写⼊数据库前,对输⼊进⾏过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?我们举⼀个例子,⼀个正常的⽤户输⼊了 5 < 7 这个内容,在写入数
XSS (Cross-Site Scripting;跨站脚本)
今天的风儿甚是喧嚣
07-07 904
XSS常见漏洞及其防御绕过方法
cross_site_scripting.pdf
05-21
cross_site_scripting.pdf
XSSCross Site Scripting跨站脚本攻击
Eason_LYC安全白帽子的成长博客
05-13 3329
XSS最为全面的知识点梳理总结,并有公开靶场配合知识点练习。含金量十成十
XSS跨站脚本攻击Cross-site scripting
qq_49841288的博客
07-24 1562
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
xss解决方案
u013029883的博客
08-10 1231
XSS介绍 跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻击原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符时,
Cross-site Scripting (XSS)
kezhen的专栏
03-26 5204
Overview Cross-Site Scripting (XSS) attacks are a type of injection problem, in which malicious scripts are injected into the otherwise benign and trusted web sites. XSS attacks occur when an attacke
XSS(Cross Site Scripting ) 跨站脚本攻击
qq_45866940的博客
09-01 398
XSS(Cross Site Scripting ) 跨站脚本攻击 恶意攻击者往Web页面中插入了恶意Script代码,用户浏览该页面时,嵌入Web里面的代码被执行,达到恶意攻击用户的目的 XSS分为:存储行,反射型,DOM型XSS 反射型XSS攻击 攻击流程: 1.黑客发送带有XSS脚本的链接 2.用户点击恶意链接,访问目标服务器 3.网站将XSS同正常网页返回到用户浏览器 4.用户浏览器解析了XSS恶意代码,向恶意服务器发起请求 5.黑客从自己搭建的恶意服务器拿取用户信息 反射型XSS:非持久化,需要
XSS Cross-site scripting
lay_loge的博客
03-26 555
Cross-site scripting简称跨站脚本攻击,通常也称为XSS。 参考 一、XSS的危害 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力 3、盗窃企业重要的具有商业价值的资料 4、非法转账 5、强制发送电子邮件 6、网站挂马 7、控制受害者机器向其它网站发起攻击 二、XSS的分类 XSS主要可分为三种,...
Cross-Site Scripting (XSS)
chengyongyou6502的博客
07-21 956
Cross-Site Scripting (XSS) What Is XSS? Cross-site scripting(XSS) is a type of web application vulnerabilitythat enables the attac...
Xss跨站脚本经验总结Cross Site Scripting
jijithin
03-20 258
最近这段时间我所在的公司让我搞一些有关网络安全方面的东西,其实是有关安全机制方面的工作,现在所做的项目整体已经到了维护的阶段,我所处的项目组现在还在改造,不过遗留了好多bug,特别是有关Xss方面的,(XSS跨站脚本 http://de.wikipedia.org/wiki/XSS或者http://baike.baidu.com/view/50325.htm)。详情请参考以上网址。   1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值