DVWA系列之19 XSS攻击介绍

简介:

XSS是指攻击者在网页中嵌入恶意脚本,通常是JavaScript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。因而,XSS与CSRF一样,同属于针对客户端的攻击,这与SQL注入、命令执行、文件包含等针对服务器端的攻击方式有很大不同。

在吴翰清的《白帽子讲Web安全》一书中,将黑客技术的发展划分为三个阶段:

在第一阶段,黑客们的攻击目标主要是网络、操作系统以及软件。后来随着防火墙、ACL 技术的兴起,以及操作系统自身安全性的不断完善,这种攻击方式已越来越少。

在第二阶段,黑客们的攻击目标主要是Web服务器端,典型的方法就是SQL注入。虽然SQL注入漏洞至今仍然是Web 安全领域中的一个重要组成部分,但含有这种漏洞的网站也是越来越少了。

在第三阶段,黑客们的攻击目标主要是客户端,典型的方法就是XSS、CSRF攻击。

至于今后的发展方向,移动互联网等则无疑是一个重点领域。但起码在很长一段时间内,XSS都会是一种非常重要的攻击方式,其危害主要体现在以下几个方面:

  • 盗取用户cookie;
  • 修改网页内容;
  • 网站挂马;
  • 利用网站重定向;
  • XSS蠕虫。

XSS攻击分为反射型和存储型两种不同的分类,其基本原理已在之前博文中有过介绍,可供参考:

反射型XSS: http://yttitan.blog.51cto.com/70821/1571910

存储型XSS: http://yttitan.blog.51cto.com/70821/1572772

接下来我们将分别来分析DVWA中几种不同级别的XSS测试页面。需要说明的是,由于XSS是针对客户端浏览器的攻击,而目前的很多浏览器都已经自带了XSS防御功能,因而建议在一台安装有XP或2003系统的虚拟机中,通过IE6浏览器去访问DVWA,否则将无法出现预期的实验效果。



本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1728143

相关文章
|
3月前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
130 49
|
3月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
133 4
|
3月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
112 2
|
3月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
147 3
|
3月前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
64 0
|
5月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
852 1
|
4月前
|
存储 JavaScript 安全
|
4月前
|
存储 JavaScript 前端开发
Xss跨站脚本攻击(Cross Site Script)
Xss跨站脚本攻击(Cross Site Script)
|
6月前
|
存储 安全 JavaScript
解释 XSS 攻击及其预防措施
【8月更文挑战第31天】
466 0
|
6月前
|
SQL 监控 安全
在Linux中,如何检测和防止SQL注入和跨站脚本(XSS)攻击?
在Linux中,如何检测和防止SQL注入和跨站脚本(XSS)攻击?