XSS跨站脚本漏洞

已于 2022-08-02 17:49:27 修改
阅读量930 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: xss 前端 java http 网络安全
于 2022-07-28 23:32:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/woo233/article/details/126029504

1.1 HTTP协议

1.1.1 HTTP请求方式(GET POST)

GET请求用于发起查询
POST请求用于向服务器提交数据
在这里插入图片描述

1.1.2 HTTP请求格式
请求行 请求头 请求体
在这里插入图片描述
1.1.3 HTTP响应格式
在这里插入图片描述
可在网页中按“F12”或者鼠标右键进行查看
在这里插入图片描述
1.1.4 HTTP特点

请求应答模式
灵活可扩展
可靠传输
无状态 stateless

1.2 客户端的Cookie

为了解决http的无状态影响:每个请求都是独立的,
需求:保持会话
可以cookie来实现需求
cookie内容:key/value格式,如:
name=xx id=99 islogin = 1

在网页中按“ctrl + shift + delete”键,会出现下图所示,可清除之前上网的痕迹,
在这里插入图片描述

用Set-cookie给客户端设置cookie
BAIDUID为key 后面为value
Thu和max-age都为cookie的生命周期,max-age优先级高 domain=.baidu.com 表示在百度所有子网都可以用
在这里插入图片描述
cookie保持的地方:1.内存 2.磁盘
cookie有过期时间放到磁盘中进行存储;
临时cookie存储在浏览器中,关闭浏览器,临时cookie即结束

cookie不能跨浏览器,跨域名使用,不同浏览器各种管cookie

有 cookie之后,cookie可在headers中查看
Cookie的特点
1.明文
2.可修改
3.大小受限 据浏览器而定
Cookie的用途
1.记住登录状态
2.跟踪用户行为

1.3 服务端的Session

cookie的缺点:1.占用客户端资源 2.增加HTTP通信成本
cookie和Session的对比:所有的cookie值都保存在客户端
而Session保存在服务端,通过cookie字段去给客户端下发PHP SESSID
在这里插入图片描述
1.用户第一次访问产生会话,向会话中添加key/value
2.用户第二次访问,检验Session
3.用户注销
在这里插入图片描述

1.4 JavaScript 操作Cookie

用JavaScript读取Cookie:alert(document.cookie)
![在这里插入图片描述](https://img-blog.csdnimg.cn/4e4545c99b054ab594ab35759ac18c59.png在这里插入图片描述
写入cookie: document.cookie=“username=wuya”
修改cookie就是覆盖原本的cookie
删除cookie,设置生命周期

1.5 脚本注入网页:XSS

恶意攻击者用web页面的漏洞,插入一些恶意代码,当用户访问页面的时候,代码就会执行,达到攻击目的.

可分为:反射型和存储型
反射型:每次需要发送
存储型:为持久的

最常见的 XSS 测试语句

我们在内容或是一些字段中输入这个测试的payload,就可能可以看到弹框,这就表示漏洞存在。

在这里插入图片描述
在这里插入图片描述

1.6 XSS防御方法

1.识别:正则表示
识别恶意脚本以及其变形

工具:WAF(web应用防火墙)Modsecuity3.0

XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 3646
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
XSS(跨站脚本攻击)漏洞解析(带靶场演示)
wudideaqing的博客
06-24 2540
XSS跨站脚本攻击,全称Cross-Site Scripting)是一种常见网络安全漏洞,允许攻击者在用户浏览器中执行恶意脚本。攻击者通过在受信任网站中注入恶意代码,诱骗用户点击或加载恶意内容,从而窃取数据、篡改页面或劫持用户。
DOM型的xss漏洞利用
热门推荐
qq_43814486的博客
04-22 1万+
DOM:通过JavaScript,可以重构整个HTML文档,就是说可以添加,移除等等,对页面的某个东西进行操作时,JavaScript就需要获得对HTML文档中所有元素进行访问的入口。这个入口就是DOM,所以在DOM型的xss漏洞利用中,DOM可以看成是一个访问HTML的标准程序接口。 特征:整个过程都是在前端完成的,没有后端的参与(纯前端的操作!) 原理: 上图var str = docume...
XSS-跨站脚本攻击(非常详细),零基础入门到精通,看这一篇就够了
最新发布
shandongjiushen的博客
06-09 669
跨站脚本攻击(xss),指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
跨站脚本XSS漏洞_跨站脚本漏洞
jennycisp的博客
05-13 1423
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。
(汉化改进作品)BruteXSSXss漏洞扫描脚本
andyshen1995的博客
01-23 471
今天给大家进行汉化改进的事一款脚本工具:BruteXSS,这款脚本能自动进行插入XSS,而且可以自定义攻击载荷。 该脚本也同时提供包含了一些绕过各种WAF(Web应用防护系统)的语句。 0×01简介 简单的介绍一下这个工具吧:BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用...
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 8068
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
qq_35320491的博客
07-11 1456
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
XSS跨站脚本漏洞详解
Zeker62的博客
08-13 543
本文参考资料:《Web安全深度剖析》张炳帅 跨站脚本漏洞:2017年OWASP TOP 7 XSS又叫CSS(Cross Site Scripting),但是和指层叠样式表 (Cascading Style Sheets) 缩写重名,所以叫XSS XSS是指攻击者在网页中嵌入脚本代码,通常是JavaScript代码,当用户使用浏览器看这些已经被嵌入恶意代码的网页的时候,这些代码就会执行,进行攻击。 XSS 属于客户端的攻击,但是中间体是服务器,并且可以当作入侵服务器的跳板:比如管理员执行了恶意代码,.
跨站脚本XSS漏洞
梁辰兴的博客
06-07 5111
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、用户cookie获取。甚至可以结合浏览器自身漏洞对用户主机进行远程控制等。形
XSS漏洞跨站脚本攻击)
2301_76622364的博客
12-18 1252
XSS类型存储型反射型DOM型触发过程构造xss脚本后正常用户访问携带xss脚本页面正常用户访问携带xss脚本的URL正常用户访问携带xss脚本的url数据存储数据库URLURL谁来输出后端web应用程序后端web应用程序前端Javascript输出位置http响应中http响应中动态构造的DOM节点是否持久是否否。
关于 XSS跨站脚本漏洞
辉小鱼的博客
09-05 1560
XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
跨站脚本漏洞XSS
qq_48904485的博客
03-22 8952
一、XSS跨站脚本基础 1、XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2、XSS漏洞原理 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执
XSS-跨站脚本攻击
qq_64177395的博客
08-16 8145
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
跨站脚本XSS漏洞 (一)
_Co1a
12-24 878
跨站脚本XSS漏洞 跨站脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞一直被评估为web漏洞中危害比较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在Web前端漏洞,所以其危害的对象也主要是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精
跨站脚本攻击漏洞XSS
sxyzwq的专栏
09-12 1901
1,跨站脚本的定义:    XSS是把注入脚本插入到web页面中去,或者是存储到读取页面中,用户运行该页面就会执行此脚本的过程,xss漏洞    脚本主要影响的是web用户,而不是应用程序本身   2,跨站脚本有三种类型:     包括,反射式XSS,存储式xss,基于DOM的XSS,前两种是最常见的注入方式 3,存储式和反射式的区别在于,会在web页面应用程序中显示未经过编码的攻击脚本,
xss跨站脚本漏洞修复
08-31
XSS跨站脚本漏洞修复是保护网站免受潜在攻击的重要措施。下面是一些常见的修复方法: 1. 输入验证:对于用户输入的数据,进行严格的验证和过滤。使用白名单机制,只允许特定的字符和标签,过滤掉所有潜在的恶意脚本。 2. 输出编码:在将用户输入的数据输出到页面时,进行适当的编码操作,以防止浏览器将其解析为脚本代码。常用的编码方法包括HTML转义、URL编码等。 3. 设置HTTP头:使用安全的标头策略,如X-XSS-Protection、Content-Security-Policy等,以告诉浏览器如何处理潜在的XSS攻击。 4. Cookie安全措施:在设置Cookie时,使用HttpOnly属性,禁止通过脚本访问Cookie信息,从而减少XSS攻击的影响。 5. 安全沙箱:对于用户提供的富文本数据,使用合适的沙箱环境进行处理,限制其执行脚本的能力,确保不会造成恶意代码的注入。 6. 定期更新:保持软件和库的更新,及时修复已知的XSS漏洞。同时关注安全社区的最新消息,及时了解新的修复策略和最佳实践。 7. 高级防护措施:考虑使用Web应用防火墙(WAF)等高级安全工具来检测和阻止潜在的XSS攻击,提供额外的安全保护。 综上所述,修复XSS跨站脚本漏洞需要综合使用输入验证、输出编码、设置HTTP头、Cookie安全措施等多种方法,以加强网站的安全性。同时,定期更新软件和库,并采取高级防护措施有助于最大程度地降低XSS攻击风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wow2ok

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值