当前位置: 首页 > news >正文

【网络安全】XSS跨站脚本攻击专题讲解

一、XSS攻击定义,分类及危害

1、XSS跨站脚本攻击定义

     跨站脚本攻击(Cross Site Scripting)为了不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。

     恶意攻击将WEB页面插入恶意Script代码,当用户浏览该网页时,嵌入其中的Web里面的Script代码将会被执行,从而打到恶意攻击用户的特殊目的。

2、XSS跨站脚本攻击危害

      危害包括但不局限于:盗取管理员或普通用户的cookie,session,读取,篡改,添加或删除敏感数据;网站挂马;非法转账;控制受害者机器向其他网站发起攻击。

3、XSS脚本攻击过程

 

4、XSS攻击分类

        按攻击方式分类

        > 反射性xss :只是简单地把用户输入的数据反射给浏览器,黑客需要诱惑用户点击链接。也叫做非持久性xss。

        > 存储性xss:把用户输入的数据存储在服务端。这种xss有很强的稳定性。比较常见的一个场景是攻击者写下一篇包含恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码。黑客把恶意的脚本保留在服务器端。存储性XSS也叫持久性XSS.

        > DOM based xss : 从效果来看也是一种反射性xss。通过修改页面的DOM节点形成xss。称为DOM Based xss。

二、XSS 攻击常见编码及绕过方式

1、XSS跨站脚本攻击常见编码

2、XSS跨站脚本攻击绕过实例

    由于网站做了一些防护,构造的xss攻击没有生效,如图 

 构造js编码方式绕过防护

 

 

3、XSS跨站脚本攻击常用语句

 

相关文章:

  • 【栈和队列OJ】一、有效的括号
  • 行业竞争分析及发展动向
  • c++现代特性
  • 【学习笔记】go协程和通道
  • 十二、bootstrap前端开发框架
  • USACO Training 1.3 Milking Cows
  • < Linux > 进度条小程序 + git三板斧
  • 惊险的十天
  • 【数据结构初阶】堆堆的实现堆排序TOP-K
  • 自动驾驶技术综述1:自动驾驶算法软件架构介绍
  • PySpark数据分析基础:pyspark.mllib.regression机器学习回归核心类详解(一)+代码详解
  • 线程池-手写线程池
  • TCP延申
  • C进阶——指针详解
  • Serverless 架构下的 AI 应用开发:入门、实战与性能优化
  • 5、React组件事件详解
  • CAP理论的例子讲解
  • CSS居中完全指南——构建CSS居中决策树
  • ES学习笔记(10)--ES6中的函数和数组补漏
  • Git的一些常用操作
  • Java 9 被无情抛弃,Java 8 直接升级到 Java 10!!
  • JavaScript标准库系列——Math对象和Date对象(二)
  • Java精华积累:初学者都应该搞懂的问题
  • QQ浏览器x5内核的兼容性问题
  • SpiderData 2019年2月13日 DApp数据排行榜
  • SpriteKit 技巧之添加背景图片
  • vue-router的history模式发布配置
  • windows下mongoDB的环境配置
  • 大主子表关联的性能优化方法
  • 干货 | 以太坊Mist负责人教你建立无服务器应用
  • 开源SQL-on-Hadoop系统一览
  • 前嗅ForeSpider教程:创建模板
  • 区块链分支循环
  • 使用Swoole加速Laravel(正式环境中)
  • 为物联网而生:高性能时间序列数据库HiTSDB商业化首发!
  • #{}和${}的区别是什么 -- java面试
  • #define与typedef区别
  • #HarmonyOS:Web组件的使用
  • #微信小程序(布局、渲染层基础知识)
  • (4)Elastix图像配准:3D图像
  • (ctrl.obj) : error LNK2038: 检测到“RuntimeLibrary”的不匹配项: 值“MDd_DynamicDebug”不匹配值“
  • (Demo分享)利用原生JavaScript-随机数-实现做一个烟花案例
  • (zt)最盛行的警世狂言(爆笑)
  • (草履虫都可以看懂的)PyQt子窗口向主窗口传递参数,主窗口接收子窗口信号、参数。
  • (更新)A股上市公司华证ESG评级得分稳健性校验ESG得分年均值中位数(2009-2023年.12)
  • (四)c52学习之旅-流水LED灯
  • (转载)Google Chrome调试JS
  • .NET 8.0 发布到 IIS
  • .NET DevOps 接入指南 | 1. GitLab 安装
  • .net 程序 换成 java,NET程序员如何转行为J2EE之java基础上(9)
  • .NET 中让 Task 支持带超时的异步等待
  • .net安装_还在用第三方安装.NET?Win10自带.NET3.5安装
  • .NET命名规范和开发约定
  • @Builder用法
  • [ web基础篇 ] Burp Suite 爆破 Basic 认证密码