XSS攻击详解

简介: XSS攻击详解

一.xss攻击简介


1.OWASP TOP 10 之一,XSS被称为跨站脚本攻击(Cross-site-scripting)

2.主要基于java script 完成恶意攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的想象空间特别大。


3.XSS通过将精心构造代码JS注入到网页中,并由浏览器解释运行这段代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。


4.微博,留言板,聊天室等等收集用户输入的地方,都有可能被注入XSS代码,都存在遭受XSS的风险,只要没有对用户的输入进行严格过滤,就会被XSS


二.xss攻击危害

1.盗取用户账号
 
2.控制企业数据包括篡改、添加、删除敏感数据
 
3.盗窃企业重要的具有商业价值的资料
 
4.非法转账
 
5.强制发送电子邮件
 
6.网站挂马
 
7.控制受害者及其向其他网站发起攻击 卖肉机

三.xss攻击的分类

1.反射型:

非持久性跨站点脚本攻击

攻击是一次性的,仅对当次的页面访问产生影响

2.存储型:

持久性跨站点脚本

攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在

3.DOM型:

既可能时反射型的,也有可能是存储型的

基于文档对象模型(Document Objeet model,DOM)的一种漏洞

四.xss产生的原因

1.web应用对用户输入过滤不严谨
 
2.攻击者写入恶意的脚本代码到网页中
 
3.用户访问了含有恶意代码的网页
 
4.恶意脚本就会被浏览器解析执行并导致用户被攻击
 
 

五.构造xss攻击脚本


1.基础知识


常用的html标签( , , ,


常用的JS脚本(alert,location.href,onload,onsubmit)


2.构造脚本的方式


弹窗警告,页面嵌套,页面重定向,弹窗警告并重定向,图片标签利用,绕开过滤的脚本,访问恶意代码(网络种马)


六.自动xss攻击


1.BeEF简介

Browser Exploitation Framework (BeEF)是目前强大的浏览器开源渗透测试框架,通过xss漏洞配合JS脚本和metasploit进行渗透;BeEF是基于Ruby语言编写的并且支持图形化界面,操作简单

相关文章
|
24天前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
90 49
|
5月前
|
存储 安全 JavaScript
手摸手带你进行XSS攻击与防御
当谈到网络安全和信息安全时,跨站脚本攻击(XSS)是一个不可忽视的威胁。现在大家使用邮箱进行用户认证比较多,如果黑客利用XSS攻陷了用户的邮箱,拿到了cookie那么就可以冒充你进行收发邮件,那真就太可怕了,通过邮箱验证进行其他各种网站的登录与高危操作。 那么今天,本文将带大家深入了解XSS攻击与对应的防御措施。
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
73 4
|
29天前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
62 2
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
74 3
|
24天前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
29 0
|
3月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
475 1
|
2月前
|
存储 JavaScript 前端开发
Xss跨站脚本攻击(Cross Site Script)
Xss跨站脚本攻击(Cross Site Script)
|
5月前
|
SQL 安全 数据库
Python Web开发者必学:SQL注入、XSS、CSRF攻击与防御实战演练!
【7月更文挑战第26天】在 Python Web 开发中, 安全性至关重要。本文聚焦 SQL 注入、XSS 和 CSRF 这三大安全威胁,提供实战防御策略。SQL 注入可通过参数化查询和 ORM 框架来防范;XSS 则需 HTML 转义用户输入与实施 CSP;CSRF 防御依赖 CSRF 令牌和双重提交 Cookie。掌握这些技巧,能有效加固 Web 应用的安全防线。安全是持续的过程,需贯穿开发始终。
95 1
Python Web开发者必学:SQL注入、XSS、CSRF攻击与防御实战演练!
|
4月前
|
监控 安全 JavaScript
对跨站脚本攻击(XSS)的防御策略?
【8月更文挑战第15天】
366 1