当前位置: 首页 > news >正文

【网络安全】XSS跨站脚本攻击专题讲解

一、XSS攻击定义,分类及危害

1、XSS跨站脚本攻击定义

     跨站脚本攻击(Cross Site Scripting)为了不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。

     恶意攻击将WEB页面插入恶意Script代码,当用户浏览该网页时,嵌入其中的Web里面的Script代码将会被执行,从而打到恶意攻击用户的特殊目的。

2、XSS跨站脚本攻击危害

      危害包括但不局限于:盗取管理员或普通用户的cookie,session,读取,篡改,添加或删除敏感数据;网站挂马;非法转账;控制受害者机器向其他网站发起攻击。

3、XSS脚本攻击过程

 

4、XSS攻击分类

        按攻击方式分类

        > 反射性xss :只是简单地把用户输入的数据反射给浏览器,黑客需要诱惑用户点击链接。也叫做非持久性xss。

        > 存储性xss:把用户输入的数据存储在服务端。这种xss有很强的稳定性。比较常见的一个场景是攻击者写下一篇包含恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码。黑客把恶意的脚本保留在服务器端。存储性XSS也叫持久性XSS.

        > DOM based xss : 从效果来看也是一种反射性xss。通过修改页面的DOM节点形成xss。称为DOM Based xss。

二、XSS 攻击常见编码及绕过方式

1、XSS跨站脚本攻击常见编码

2、XSS跨站脚本攻击绕过实例

    由于网站做了一些防护,构造的xss攻击没有生效,如图 

 构造js编码方式绕过防护

 

 

3、XSS跨站脚本攻击常用语句

 

相关文章:

  • 【栈和队列OJ】一、有效的括号
  • 行业竞争分析及发展动向
  • c++现代特性
  • 【学习笔记】go协程和通道
  • 十二、bootstrap前端开发框架
  • USACO Training 1.3 Milking Cows
  • < Linux > 进度条小程序 + git三板斧
  • 惊险的十天
  • 【数据结构初阶】堆堆的实现堆排序TOP-K
  • 自动驾驶技术综述1:自动驾驶算法软件架构介绍
  • PySpark数据分析基础:pyspark.mllib.regression机器学习回归核心类详解(一)+代码详解
  • 线程池-手写线程池
  • TCP延申
  • C进阶——指针详解
  • Serverless 架构下的 AI 应用开发:入门、实战与性能优化
  • [case10]使用RSQL实现端到端的动态查询
  • 2017-08-04 前端日报
  • exif信息对照
  • Linux学习笔记6-使用fdisk进行磁盘管理
  • Shadow DOM 内部构造及如何构建独立组件
  • Spring Security中异常上抛机制及对于转型处理的一些感悟
  • Storybook 5.0正式发布:有史以来变化最大的版本\n
  • Terraform入门 - 3. 变更基础设施
  • Tornado学习笔记(1)
  • Vue 动态创建 component
  • vuex 学习笔记 01
  • Vue实战(四)登录/注册页的实现
  • 笨办法学C 练习34:动态数组
  • 闭包--闭包作用之保存(一)
  • 成为一名优秀的Developer的书单
  • 复习Javascript专题(四):js中的深浅拷贝
  • 经典排序算法及其 Java 实现
  • 老板让我十分钟上手nx-admin
  • 前端学习笔记之观察者模式
  • 什么软件可以剪辑音乐?
  • 无服务器化是企业 IT 架构的未来吗?
  • 写代码的正确姿势
  • 移动端唤起键盘时取消position:fixed定位
  • Oracle Portal 11g Diagnostics using Remote Diagnostic Agent (RDA) [ID 1059805.
  • ​RecSys 2022 | 面向人岗匹配的双向选择偏好建模
  • ​什么是bug?bug的源头在哪里?
  • !!java web学习笔记(一到五)
  • #if和#ifdef区别
  • #QT项目实战(天气预报)
  • #经典论文 异质山坡的物理模型 2 有效导水率
  • $.ajax()参数及用法
  • ()、[]、{}、(())、[[]]等各种括号的使用
  • (04)odoo视图操作
  • (07)Hive——窗口函数详解
  • (6)设计一个TimeMap
  • (Java数据结构)ArrayList
  • (定时器/计数器)中断系统(详解与使用)
  • (规划)24届春招和25届暑假实习路线准备规划
  • (十)T检验-第一部分
  • (十八)三元表达式和列表解析