浅谈xss

作者: 北方_f6b4 | 来源:发表于2019-11-22 21:24 被阅读0次

1.xss是什么:跨站脚本攻击(Cross Site Scripting) a.通过恶意的script脚本获取用户信息或进
                    行攻击   b.影响范围主要在客户端

2.集中常见的xss:1 存储式(通过存储到数据库中进行攻击)

                                     通过输入恶意脚本,存储在服务端,在每次调用数据库的时候,将数据
                                   呈现在客户端,这种攻击会一直存在,可以用于盗取用户信息

                                2 反射式(依靠站点服务端返回脚本,在客户端触发执行从而发起web攻
                                  击) 例如:通过构造url,或者构造相应的表单数据,盗取对应的数据。

                              3 基于dom的xss,客户端本身对脚本的解析不正确导致

3 xss同csrf之间的区别

     CSRF的定义 ◦Cross-site request forgery 跨站请求伪造

        ◦服务端信任用户的请求,通过伪装为信任的用户进行对服务端进行攻击

     区别

         ◦Xss为客户端信任服务端,允许服务端的任何信息进行允许

         ◦CSRF则为服务端信任客户端,没有对用户信息进行校验

           ◦Xss主要集中于html标签以及js脚本,对客户端进行破坏

           ◦CSRF主要侧重于跨站,伪造获取服务端信息

4 xss攻击出现的原因

               1 浏览器对html本身的解析方式造成的

              2  HTML特性决定◦可以执行脚本的地方太多,比如onclick事件,html标签属性

5 xss攻击示例  

   输入框中直接输入恶意脚本

      ◦比如:<script>alert(document.cookie)</script>

     输入框中输入html标签,在标签中嵌套恶意脚本

   ◦比如<IMGSRC="javascript:alert('XSS');">;

      将脚本注入到event事件中,如click

     ◦<a onclick="alert(document.cookie)">xxslink</a>

       Meta标签◦<META HTTP-EQUIV="Set-Cookie"Content="USERID=<SCRIPT>alert('XSS')</SCRIPT>">

6 后端框架处理xss攻击

    6.1:原则 不要相信任何用户的直接输入或者间接输入。

   6.2:方式:对输入的内容进行转码      对输入的内容进行过滤(比较常用) 常用实现:https://blog.csdn.net/kouwoo/article/details/41946683

相关文章

  • XSS攻击(Cross Site Scripting)

    参考资料:[1]. 浅谈XSS攻击的那些事(附常用绕过姿势)[2]. XSS(偷你的Cookies) 什么是XSS...

  • 21.浅谈前端WEB安全性(二)

    (二)浅谈前端WEB安全性5.XSS防御6.XSS分类及挖掘方法 5.XSS防御 一.概述 攻击者可以利用XSS漏...

  • 防御 XSS攻击

    浅谈XSS—字符编码和浏览器解析原理 XSS简介 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascadin...

  • 18.浅谈前端WEB安全性(一)

    (一)浅谈前端WEB安全性1.XSS攻击:跨站脚步攻击原理2.XSS利用输出的环境来构造代码(XSS的构造技巧)3...

  • 三、 前端面试题 - 安全篇

    1. XSS、CSRF 浅谈前端安全[https://zhuanlan.zhihu.com/p/108704264...

  • 浅谈xss

    1.xss是什么:跨站脚本攻击(Cross Site Scripting) a.通过恶意的script脚本获取用户...

  • 浅谈XSS

    首发地址:我的个人博客 前言 本文章产生的缘由是因为专业老师,让我给本专业的同学讲一哈SQL注入和XSS入门,为了...

  • 浅谈XSS

    1. XSS简介 跨站脚本(Cross Site Script)为了避免与CSS混淆,简称XSS。XSS是指攻击者...

  • 浅谈XSS攻击

    XSS发生的前置条件 因为浏览器本身的设计缺陷,浏览器只负责解释执行HTML+CSS+JavaScript,并不会...

  • 浅谈 XSS & CSRF

    客户端(浏览器)安全 同源策略(Same Origin Policy) 同源策略阻止从一个源加载的文档或脚本获取或...

网友评论

      本文标题:浅谈xss

      本文链接:https://www.haomeiwen.com/subject/fbxcwctx.html