xss又叫css,为了与前端的css区别,所以叫xss,即跨站脚本攻击。

XSS原理解析

XSS攻击是在网页中嵌入客户端恶意脚本代码,恶意代码一般都是javascript编写的。想要深入研究XSS,必须精通javascript。

javascript可以获取用户的cookie、改变网页内容、URL跳转,所以,存在XSS漏洞的网站,就可以盗取Cookie、黑掉页面、跳转到恶意网站。

在存在XSS漏洞的地方输入<script>alert(/xss/)</script>,则会弹窗。在<script></script>之间输入恶意javascript代码,就会造成相应的恶意攻击。盗取Cookie、监控键盘记录等。

反射型XSS

反射型XSS也被称为非持久性XSS。当用户访问一个带有XSS代码的URL请求时,服务端接收数据后处理,然后把带有XSS代码的数据发送到浏览器,浏览器解析XSS代码,造成XSS漏洞。

比如:XXX.com/1.php?username=<script>恶意代码</script>,就会造成反射型XSS漏洞。看似没什么危害,但是当你了解了Cookie的话,就不会这么认为了。

存储型XSS

存储型XSS又被称为持久型XSS。攻击者提交XSS代码,服务器接收并存储,再次访问这个页面时,XSS代码从数据库中被读取出来,浏览器解析XSS代码,造成存储型XSS攻击。

存储型XSS一般存在于评论,留言板等地方,测试是否存在XSS时,我们要确定输出的内容是在标签内还是标签属性内或者是其他地方,如:<input type="text" name="content" value="<script>alert(/xss/)</script>"/>  这段代码中的XSS就不会被执行,因为XSS代码是value属性的值,被当做HTML来解析,此时,我们需要闭合input标签,<input type="text" name="content" value=""/><script>alert(/xss/)</script>"/> ,这样就会执行XSS代码,造成恶意攻击。

检测XSS

检测分为手工检测和软件自动检测。

(1)手工检测

输入一些敏感字符,例如“<、>、"、'、()”等,提交请求查看源代码看是否被转义。

不知道输出位置的情况下使用:"/>XSS  来测试。

(2)软件自动检测

软件检测都是自动化,像appscan、awvs、burpsuit等都可以检测。

专业的XSS扫描工具有XSSER、XSSF等。

检测XSS要工具与手工并进,这样才能更好的检测XSS。

XSS简介的更多相关文章

  1. web攻击之xss(一)

    1,xss简介 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击 ...

  2. .Net Core 项目中添加统一的XSS攻击防御过滤器

    一.前言 最近公司内部在对系统的安全进行培训,刚好目前手里的一个.net core 项目中需要增加预防xss的攻击,本文将大概介绍下何为XSS攻击以及在项目中如何统一的预防XSS攻击. 二.XSS简介 ...

  3. Web安全之跨站脚本攻击(XSS)

    XSS 简介 跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做&q ...

  4. 信息安全学习笔记--XSS

    一.XSS简介 XSS (Cross Site Scripting)是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中.比如这些代码包括HTML代 ...

  5. web安全系列(一):XSS 攻击基础及原理

    跨站脚本攻击(XSS)是客户端脚本安全的头号大敌.本文章深入探讨 XSS 攻击原理,下一章(XSS 攻击进阶)将深入讨论 XSS 进阶攻击方式. 本系列将持续更新. XSS 简介 XSS(Cross ...

  6. 安全漏洞XSS、CSRF、SQL注入以及DDOS攻击

    随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施. 0x01: XSS漏洞 1.XSS简介 跨站脚本(cross site s ...

  7. 程序员常用的3大Web安全漏洞防御解决方案:XSS、CSRF及SQL注入(图文详解)

    https://blog.csdn.net/ChenRui_yz/article/details/86489067 随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面 ...

  8. XSS(跨站脚本攻击)简单讲解

    1.1 XSS简介 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码(一般是JS代码)到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意 ...

  9. 常见web漏洞整理之进击吧xss!!!

    XSS在线测试环境: http://xss-quiz.int21h.jp/ https://brutelogic.com.br/xss.php 这两个站对xss的理解很有帮助!!! 参考链接: htt ...

随机推荐

  1. CentOS 7.0 下 Python 2.7 升级到 Python 3.5

    前段因为时间工作需要,要把 Centos 7.0 默认安装的 Python 2.7 升级到 Python 3.5. 具体操作如下: # 安装 gcc gcc-c++ 等编译工具软件 yum insta ...

  2. 51nod"省选"模测 A 树的双直径(树形dp)

    题意 题目链接 Sol 比赛结束后才调出来..不多说啥了,就是因为自己菜. 裸的up-down dp,维护一下一个点上下的直径就行,一开始还想了个假的思路写了半天.. 转移都在代码注释里 毒瘤题目卡空 ...

  3. 2018-08-16 中文代码之Spring Boot添加基本日志

    之前中文代码之Spring Boot实现简单REST服务的演示服务不知为何中止. 新开issue: 演示服务中止 · Issue #2 · program-in-chinese/programming ...

  4. SuperMap iClient for JavaScript image出图

    SuperMap iClient for JavaScript 客户端基于openlayers 开发. 目前最高版本为811,9D产品后推荐客户使用leaflet.openlayers客户端开发. 问 ...

  5. error 2593 operator << 不明确的可能的解决方法

    编译Martinez算法时遇到该问题,提示重载的<<操作符调用不明确. 解决方法为:在cpp文件中将重载的该操作符的实现前添加完整的命名空间路径.

  6. Native SBS for Android

    Native SBS for Android是一款非常棒的软件,支持安卓在2D界面下左右分屏显示,并可以设置缩放比例及左右间距,横屏自动切换为左右分屏显示模式,竖屏则为正常显示.启动左右分屏模式后,将 ...

  7. AIOps背景/所应具备技术能力分析(上)

    本文篇幅较长,分为上,中,下,三个部分进行连载.内容分别为:AIOps 背景/所应具备技术能力分析(上),AIOps 常见的误解(中),挑战及建议(下). 前言 我大概是 5,6 年前开始接触 ITO ...

  8. ES搜索引擎基本操作

    一.创建索引库 执行:,索引库的名称为zhen 结果(我已经创建过了,重复执行会报错): 二.创建索引 1.添加索引 2.添加索引(动态添加新列) 3.添加指定id的索引[根据id可以直接修改一前的索 ...

  9. JMeter—常见问题(十四)

    参考<全栈性能测试修炼宝典JMeter实战>第十五章 JMeter常见问题 1.无法产生负载 注意检查各元件是否时禁用状态.JMeter在运行时是以数形式加载各种元件的,如果父节点被禁用, ...

  10. 下载安装Emacs和基本配置--待更新中

    Emacs下载地址 下载好后,解压到D:\Emacs,并设置环境变量D:\Emacs\bin 熟悉基本操作 光标的移动 文件的创建与打开