专栏首页小白安全Web安全测试基础一

Web安全测试基础一

一、Web安全漏洞概念及原理分析

1.2

跨站脚本攻击(XSS)

概念:通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,实现控制用户浏览器行为的一种攻击方式。

全称:Cross Site Script(本来缩写是CSS,但是为了和层叠样式表CSS有所区别,所以在安全领域叫做“XSS”)

危害:盗取用户信息、篡改页面钓鱼、制造蠕虫等。

XSS分类:存储型、反射型、DOM型

反射型XSS

反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功

如下,查询name信息,正常用户请求:

如果那name参数1修改成,则显示结果:

存储型XSS

如下,正常留言或者评论,显示如下:

如果将message信息写成,则显示

DOM XSS

基于DOM型的XSS是不需要与服务器端交互的,它只发生在客户端处理数据阶段。

下面一段经典的DOM型XSS示例。

上述代码的意思是获取URL中content参数的值,并且输出,如果输入http://www.xxx.com/dom.html?content=,就会产生XSS漏洞。

各种类型原理分析

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Burpsuite插件的使用

    Burp插件的使用 使用准备 Burpsuite可以使用三种语言编写的扩展插件,Java、Python和Ruby。除Java外,其它两种需要的扩展...

    奶糖味的代言
  • XSS手工利用方式-FreeBuf.COM

    0×00 vps 当我们在插入的xss,在客户端成功执行了相关的操作后,需要将获取的内容传递出来,可以选择购买VPS或者免费的dnslog平台通过ge...

    奶糖味的代言
  • 反射跨站脚本(XSS)示例

    如何利用它? 原来的要求如下: ? 应用程序的回应非常清楚。用户ID为空(空)。我们没有为它指定一个值。 ? 我们有XSS。有效负载未被应用...

    奶糖味的代言
  • 跨站的艺术:XSS Fuzzing 的技巧

    Fuzzing(模糊测试)是挖掘漏洞最常用的手段之一,对于每一种漏洞,都有其 Fuzzing 的技巧,XSS 也是如此,在这篇文章里我将根据自己的经验与一起大家...

    云鼎实验室
  • XSS基础

    XSS大家一定不陌生,上章咱们就用到XSS来抓取token,XSS到底是什么呢?这里给大家从基础开始讲解

    天钧
  • XSS注入

    XSS(Cross Site Scripting),由于与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此一般缩写为XSS。X...

    小老鼠
  • XSS分析及预防

    XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。在WEB前端应用日益发展的今天,XSS漏洞尤其容...

    欲休
  • XSS 攻击与防御

    XSS(跨站脚本攻击,Cross-site scripting,它的简称并不是 CSS,因为这可能会与 CSS 层叠样式表重名)是一种常见的 web 安全问题。...

    多云转晴
  • 跨站的艺术-XSS入门与介绍

    什么是XSS? XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写...

    云鼎实验室
  • BlueLotus-XSS平台源码分享

    Youngxj

扫码关注云+社区

领取腾讯云代金券