行测 centos PyCharm 自承式光缆 父子元素 swing haskell awk foreach fonts outlook hyperlink 百度seo关键词 郑州小程序公司 linux源码在线阅读 mysql批量更新数据 mysql时间戳转日期 python的random模块 python怎么下载 java写入文件 java初级 java8时间 java时间格式 java文件删除 java查看变量类型 linux磁盘管理 linux的安装 网络适配器驱动 野德天赋 微信骰子表情包 什么模拟器最好 模拟按键 文章查重软件 ps从入门到精通 淘宝店铺采集 qq游戏黑名单 ps测量长度 xd下载 xp系统修复工具 cad指北针
当前位置: 首页 > 学习教程  > 编程学习

跨站脚本攻击(XSS)-DVMA实战

2021/1/9 2:02:47 文章标签: 跨站攻击

参考网址:http://mp.weixin.qq.com/s/u6R95X9mfStL2ZWApB3KnQ 一、Web安全漏洞概念及原理分析 1.2 跨站脚本攻击(XSS)概念:通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时&…

参考网址:http://mp.weixin.qq.com/s/u6R95X9mfStL2ZWApB3KnQ

一、Web安全漏洞概念及原理分析


1.2
跨站脚本攻击(XSS)


概念:通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,实现控制用户浏览器行为的一种攻击方式。

全称:Cross Site Script(本来缩写是CSS,但是为了和层叠样式表CSS有所区别,所以在安全领域叫做“XSS”)

危害:盗取用户信息、篡改页面钓鱼、制造蠕虫等。

XSS分类:存储型、反射型、DOM型

反射型XSS

反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功

如下,查询name信息,正常用户请求:

如果那name参数1修改成<script>alert("I am XSS")</script>,则显示结果:

存储型XSS

如下,正常留言或者评论,显示如下:

如果将message信息写成<script>alert(11)</script>,则显示

DOM XSS

基于DOM型的XSS是不需要与服务器端交互的,它只发生在客户端处理数据阶段。

下面一段经典的DOM型XSS示例。

上述代码的意思是获取URL中content参数的值,并且输出,如果输入http://www.xxx.com/dom.html?content=<script>alert(/xss/)</script>,就会产生XSS漏洞。

各种类型原理分析


本文链接: http://www.dtmao.cc/news_show_1100244.shtml

附件下载

相关教程

    暂无相关的数据...

共有条评论 网友评论

验证码: 看不清楚?