XSS漏洞的原理及分类

最新推荐文章于 2023-07-27 11:37:58 发布
最新推荐文章于 2023-07-27 11:37:58 发布
阅读量239 收藏
点赞数
文章标签: 安全 web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_68005432/article/details/128385897
版权

XSS基本概念和原理

XSS(cross site scripting):跨站脚本攻击,攻击者在网页中嵌入客户端脚本,当用户使用浏览器被嵌入恶意代码的网页时,恶意脚本代码就会在用户的浏览器执行,造成跨站脚本攻击。

XSS是一种发生在Web前端的漏洞,所以其危害的对象主要是前端用户,XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等。

XSS漏洞的分类

反射型XSS:是非持久型,参数型的跨站脚本,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的,多出现在搜索框或者输入框。

存储型XSS:恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久型,多出现在黑客写下一篇包含有恶意代码JS代码的博客文章,文章发表后,所有访问该博客的文章,都会在他们的浏览器中执行这段js代码。

DOM型XSS

最低0.47元/天 解锁文章
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
m0_64378913的博客
05-13 2万+
目录1 XSS漏洞简介2 XSS漏洞危害3 XSS漏洞分类3.1 反射型XSS3.2 存储型XSS3.3 DOM型XSS3.3.1 节点树模型3.3.2 DOM型XSS4 漏洞验证4.1 漏洞验证相关概念4.2 漏洞验证相关概念之间的区别4.3 常见POC5 XSS漏洞验证实例5.1 反射型XSS漏洞验证实例5.2 存储型XSS漏洞验证实例5.3 DOM型XSS漏洞验证实例6 总结参考文章 1 XSS漏洞简介 定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是
手把手教你XSS漏洞常见类型挖掘方法
tangshuangsss的专栏
12-03 5632
点击"仙网攻城狮”关注我们哦~当想研发的渗透人是好运维让我们每天进步一点点简介本篇文章将讲解XSS三大类中一些细小分类漏洞挖掘方法和漏洞形成原理说明,附源码分析。将展示以下类...
JAVA Web应用常见漏洞与修复建议
最新发布
qq_39560975的博客
07-27 8338
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
XSS漏洞原理详解丨小白WEB安全入门
jennycisp的博客
06-27 2338
XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。
xss漏洞学习上--pikachu--2023/03/26
m0_53689197的博客
03-26 225
xss漏洞学习上--pikachu--2023/03/26
XSS漏洞原理及防护
暖风吹起云之博客
08-03 2492
介绍xss漏洞原理和基本防护思路。
xss漏洞原理
现代鲁滨逊的博客
07-24 2845
XSSXSS原理简单介绍漏洞成因XSS分类1.反射型2.存储型3.DOM型XSS危害XSS构造及漏洞利用1.XSS过滤绕过利用<>标记HTML、JavaScript关闭标签利用HTML标签属性执行XSS空格回车Tab绕过过滤利用标签属性进行转码产生事件扰乱XSS过滤规则利用字符编码利用CSS跨站过滤2.其他XSS漏洞XSS防御输入过滤输出编码标签黑白名单过滤代码实体转义httponly防止cookie被盗取总结 参考: XSS跨站脚本攻击原理及代码攻防演示(一)(很大一部分从他那来的,如侵立删)
简述xss漏洞原理及危害?xss漏洞有哪些类型?xss漏洞哪个类型危害最大?如何防御xss漏洞
DXfighting_的博客
04-14 4092
Xss漏洞原理:服务器对用户提交的数据过滤严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的。 危害: 1.窃取用户Cookie2.后台增删改文章3.XSS钓鱼攻击4.利用XSS漏洞进行传播和修改网页代码5.XSS蠕虫攻击6.网站重定向7.获取键盘记录8.获取用户信息等 分类: 1、反射型(非持久型) 反射型XSS,又称非持久型XSS,攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,恶意代码并没有保存在目标
XSS漏洞-01】XSS漏洞原理和危害及验证与分类
cc
02-10 8041
反射型XSS数据库进行交互,直接由前端进行反馈;存储型XSS会将恶意代码写进服务器的数据库中;反射型和存储型xss都先将数据发送到了服务器,再从服务器读取数据显示到页面中,burp能抓取到数据;DOM型XSS主要是在浏览器本地修改DOM树而执行,并会经过服务器,所以burp抓取到包。
xss漏洞原理分析与挖掘方法
qq_42801460的博客
03-30 860
xss漏洞原理分析与挖掘方法。反射型xss是能挖到的xss中最多的,他的原理如下: 1.黑客发现了一个存在反射型xss的URL 2.查看源码根据输出环境构造特定的xss代码,也会进行编码缩短代码,这个可有可无 3.把构造的xss代码发送给受害者 4.受害者点击后执行xss代码 5.完成黑客想要的功能,多是获取cookie
XSS漏洞分类
ssslq的博客
03-04 900
反射型,存储型XSS解析及实操
XSS基本概念和原理介绍
m0_64005272的博客
01-02 1575
形成XSS漏洞的主要原因是程序对输入和输出的控制够严格,导致 "精心构造" 的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。● XSS漏洞一直被评估为Web漏洞中危害较大的漏洞,在OWASP TOP的排名中一直属于前三的江湖地位。④提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞;交换的数据一般会被保存在数据库里面,一次性,所见即所得,一般出现在查询类页面等。交换的数据会被保存在数据库里面,永久性存储,一般出现在留言板,注册等页面。
XSS漏洞详解
m0_56822024的博客
07-09 1269
跨站脚本攻击(Cross Site Script)为了和层叠样式表CSS有所区别,所以在安全领域叫做“XSS”。 XSS攻击,通常指攻击者在网页中嵌入恶意代码,用户访问网页或点击链接是触发恶意代码而被攻击。.........
XSS -- 三种基本漏洞 (浅谈)
thj_blog
11-13 7377
一、  XSS 漏洞的验证         我们可以用一段简单的代码,验证和检测漏洞的存在,这样的代码叫做PoC(Proof of Concept)。验证XSS 漏洞存在的PoC 如下:               (1)&lt;script&gt;alert(/xss/)&lt;/script&gt;                      (2)&lt;script&gt;confirm('...
A7 XSS漏洞学习
weixin_43355264的博客
02-02 630
xss跨站脚本---应用描述 自动化工具能够检测并利用所有的三种XSS形式,并且存在方便攻击者利用漏洞的框架。 xss是owasp top 10中第二普遍的安全问题,存在于近三分之二的应用中。自动化工具能自动发现一些xss问题,特别是在一些成熟的技术中。xss对于放射和DOM的形象是中等的,而对于存储的XSS的影响更为严重,臂如在受攻击者的游览器上执行远程代码例如:窃取凭证和会话或传递恶意软件...
java xssprotect,代码审计--28--新篇章之Java代码审计(七)
weixin_34260071的博客
03-20 827
本篇介绍了以下代码安全问题说明:本篇所有介绍的安全问题在审计时通常为中危及以上1、跨站请求伪造2、弱验证3、组件间通信XSS4、有风险的反射型XSS5、有风险的存储型XSS6、安全的随机数7、空密码8、硬编码密码9、弱加密10、弱加密:密钥长度足1、跨站请求伪造详细信息跨站请求伪造(CSRF)是伪造客户端请求的一种攻击,攻击者可以在用户知情的情况下代表经过身份验证的用户执行操作。例如:以下代...
跨站脚本攻击(XSS)(三)
努力让自己更优秀的博客
09-19 341
XSS的三种形式 1,反射性XSS 应用中包含未验证的或未编码的用户输入,并作为HTML或者其他未启用的CSP头的一部分输出。成功的攻击将在受害者的浏览器上执行任意HTML或js代码,一般而言,用户需要点击链接或与其他攻击者控制页面做交互。 2,存储式XSS 应用或者APP将未净化的用户输入存储下来了,并在后期再其他用户或者管理员的页面展示出来。存储型XSS一般被认为是高危或严重的风险。 3,...
OWASP安全编码规范快速参考指南
煜铭2011
10-09 5299
0x00 原则 概览      开发安全的软件需要对安全原则有基本的了解。虽然对于安全原则的全面评估超出了本指南的范围,但是我们还是提供了一个快速的概览。软件安全的目标是要维护信息资源的 保密性 ,  完整性 ,和 可用性 ,以确保业务的成功运作。该目标通过实施 安全控制 来实现。本指南重点介绍具体的技术控制,以 缓解 常见软件 漏洞 的发生。虽然主要的关注点是 Web应用程序及其配套的基础设施
深入浅出XSS漏洞原理与练习平台
- 漏洞原理XSS漏洞原理是由于网站在接收用户输入时缺乏足够的验证与转义,导致了恶意脚本被当作合法内容在用户浏览器中执行。这种情况下,攻击者可以利用输入的漏洞,注入JS代码,一旦代码执行,攻击者就可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小熊可可茶www

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值