跨站脚本攻击XSS(Cross Site Scripting)总结

最新推荐文章于 2025-06-14 00:08:08 发布
最新推荐文章于 2025-06-14 00:08:08 发布
阅读量1.2k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Web攻防 文章标签: 安全漏洞 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43968080/article/details/104114456
本文深入探讨了XSS(跨站脚本攻击)的概念,包括其成因、Payload示例和常见绕过方法。XSS分为存储型、反射型和DOM型三类,危害性各异。同时,文章列举了多种防范XSS攻击的策略,如过滤、转译、转义等,并提及了历史上著名的XSS事件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1、何为XSS?

XSS(Cross Site Scripting)名为跨站脚本攻击,本应该称之为 CSS,但是由于 CSS 与网页前端的层叠式样表名称冲突,因此称之为 XSS。

XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。

XSS通常存在于论坛的评论处、发表文章处、网站留言处、网站检索处等。

以留言板为例,一般用户只是输入合法的留言文本,但是总有一些用户,当其输入这样的脚本语句:
<script>alert("Are You OK?")</script>
那么如果没有安全过滤,此时服务器就会解析该脚本语句并执行相应的操作。

这就是XSS。

2、Payload

常见的一些Payload如下:

1)利用autofocus的自动输入元素的特性进行测试,无需用户交互

<input onfocus = write(1) autofocus>

2)在img标签中没有写地址src,触发一个报错事件

<image src onerror = alert(1)>

3)利用svg标签在页面加载完后嵌入时间onload,短小精悍

<svg onload = alert(1)>

通常也可以写成:

<body/svg onload = alert(1)>

4)利用script脚本进行最直接的测试

最低0.47元/天 解锁文章

200万优质内容无限畅学
(SEED-LabCross-Site Scripting (XSS) Attack Lab跨站脚本攻击实验
lunan的博客
02-02 6242
(SEED-LabCross-Site Scripting (XSS) Attack Lab 跨站脚本攻击实验 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2 Lab Environment2.1 The Elgg Web Application2.2 DNS Confifiguration2.3 Apache Confifiguration3 Lab Tasks3.1 Preparation: Getting Familiar w
XSS Cross-site scripting
lay_loge的博客
03-26 555
Cross-site scripting简称跨站脚本攻击,通常也称为XSS。 参考 一、XSS的危害 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力 3、盗窃企业重要的具有商业价值的资料 4、非法转账 5、强制发送电子邮件 6、网站挂马 7、控制受害者机器向其它网站发起攻击 二、XSS的分类 XSS主要可分为三种,...
Cross-SiteScriptingXSS跨站脚本攻击
打代码的小女孩
01-13 2363
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。 根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。 DOM型的XSS由于其特殊性,常常被分为第三...
Cross-Site ScriptingXSS)简介
weixin_30784945的博客
07-13 352
  最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。   在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。   而在本篇文章中,我们将一步一步深入挖掘XSS的攻击流程,攻击手段,以及防御方法等各个方面。 XSS示...
网络安全防护:跨站脚本攻击XSS
最新发布
xike1024的博客
06-14 926
XSS:攻击者将恶意的客户端脚本(通常是 JavaScript)注入到其他用户会访问的网页中。当受害者的浏览器加载并执行了这些恶意脚本时,攻击就成功了
XSS (Cross-Site Scripting;跨站脚本)
今天的风儿甚是喧嚣
07-07 905
XSS常见漏洞及其防御绕过方法
(原创)攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)
weixin_34032621的博客
09-06 499
声明:本文仅供学习研究之用,对于本文提到的某些网站的XSS漏洞,请读者发扬高尚的人道主义精神不要去危害他人,同时希望相应的网站能够尽快修补XSS漏洞。 简介 XSS又叫CSS (Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同...
XSSCross Site Scripting跨站脚本攻击
weixin_45760365的博客
03-31 1343
XSSCross Site Scripting跨站脚本攻击
跨站脚本攻击XSSCross Site Script)的原理与常见场景分析
10-18
跨站脚本攻击XSSCross Site Scripting)是一种常见的网络安全漏洞,它允许恶意攻击者在用户浏览器中注入并执行恶意脚本。攻击者通常通过在网页上插入恶意HTML或JavaScript代码来实现这一目标。当用户访问这些被...
Xss跨站脚本攻击Cross Site Script)
xuyunpeng3189的博客
01-22 1088
原理: XSS攻击的核心思想就是在HTML页面中注入恶意代码服务器过滤不严格导致攻击者输入的恶意js代码被web前端执行XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览 危害: 获取管理员cookie/提权,网站篡改,敏感信息泄露,钓鱼,网站挂马,客户端攻击,传播蠕虫 防御: 对用户输入和web输出均进行过滤,过滤特殊字符,",#,特殊标签,JS动作等等;限制用户输入数据的类型/长度;黑白名单;通过使cookie和系统IP绑定,来降低cookie泄露后的危险;httponly:禁
**XSS** 即跨站脚本攻击Cross-Site Scripting),是一种常见的 Web 应用程序安全漏洞
08-17
xss
Cross-site scripting
weixin_34367845的博客
12-03 628
https://en.wikipedia.org/wiki/Cross-site_scripting Definition Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications. XSS enables attackers to i...
Xss跨站脚本经验总结Cross Site Scripting
jijithin
03-20 258
最近这段时间我所在的公司让我搞一些有关网络安全方面的东西,其实是有关安全机制方面的工作,现在所做的项目整体已经到了维护的阶段,我所处的项目组现在还在改造,不过遗留了好多bug,特别是有关Xss方面的,(XSS跨站脚本 http://de.wikipedia.org/wiki/XSS或者http://baike.baidu.com/view/50325.htm)。详情请参考以上网址。   1...
XSS(Cross Site Scripting ) 跨站脚本攻击
qq_45866940的博客
09-01 401
XSS(Cross Site Scripting ) 跨站脚本攻击 恶意攻击者往Web页面中插入了恶意Script代码,用户浏览该页面时,嵌入Web里面的代码被执行,达到恶意攻击用户的目的 XSS分为:存储行,反射型,DOM型XSS 反射型XSS攻击 攻击流程: 1.黑客发送带有XSS脚本的链接 2.用户点击恶意链接,访问目标服务器 3.网站将XSS同正常网页返回到用户浏览器 4.用户浏览器解析了XSS恶意代码,向恶意服务器发起请求 5.黑客从自己搭建的恶意服务器拿取用户信息 反射型XSS:非持久化,需要
Cross Site Scripting (XSS)
seanyang_的博客
10-28 352
攻击者会给网站发送可疑的脚本,可以获取浏览器保存的网站cookie, session tokens, 或者其他敏感的信息,甚至可以重写HTML页面的内容。
XSS(Cross Site Scripting)
sh0rk的博客
11-10 359
XSS什么是XSS分类利用方法进阶防御 什么是XSS 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 分类 利用方法 ...
什么是XSSCross Site Scripting
走向未来
04-23 1801
什么是XSSCross Site Scripting) (1)恶意用户将代码植入到提供给其他用户使用的页面中,未经转义的恶意代码输出到其他用户的浏览器执行; (2)用户浏览页面的时候嵌入页面中的脚本(js)会被执行,攻击用户; (3)主要分为两类:反射型(非持久型),存储型(持久型); 如何防范XSS? 不要相信用户的任何输入; (1)过滤(输入和参数); 对敏感标签 ...
Cross-site Scripting (XSS)
kezhen的专栏
03-26 5204
Overview Cross-Site Scripting (XSS) attacks are a type of injection problem, in which malicious scripts are injected into the otherwise benign and trusted web sites. XSS attacks occur when an attacke
XSS跨站脚本攻击Cross-site scripting
qq_49841288的博客
07-24 1562
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值