XSS(跨站脚本攻击)
XSS介绍
XSS(Cross Site Scripting)跨站脚本攻击,它与层叠样式表CSS(Cascading Style
Sheets)的缩写混淆。因此,将跨站脚本攻击缩写为XSS。
XSS危害
XSS攻击,通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
XSS分类:
反射型(又称非持续性)
存储型(又称持续性)
DOM型
反射型
反射型XSS,又称非持续性XSS,这种攻击不是持续的,简单点来说,它是一次性的,它的原理是恶意代码存在URL中,用户点击带有恶意参数的URL触发代码,此类型漏洞一般存在于搜索框里。
存储型
又称持续性,此类漏洞的恶意代码会存储在数据库里面,用户每次访问访问该页面的时候都会触发代码,这种类型也是三种类型里面最危险的一种,一般存在于留言板,发表文章,或者个人信息哪里。
DOM型
DOM型XSS严格来说应该归属到反射型XSS,因为它并没有将恶意代码存储到数据库内。DOM XSS是基于文档对象模型(Document Object Model)的一种xss。
XSS工具介绍
beef-xss
beef-xss是一个web框架攻击平台,parrot和kali等渗透测试系统,都集成beef,而且beef有很多好使的payload。
比如XSS这个漏洞,beef可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,非常强大。
XSStrike
XSStrike是目前比较流行的一款xss检查工具,它只针对反射型和DOM型,对参数进行模糊测试之后构建合适的payload,使用payload对参数进行穷举匹配,内置爬虫功能,检测并尝试绕过WAF,同时支持GET及POST方式,大多数payload都是由作者精心构造,误报率极低。
下载地址:https://github.com/s0md3v/XSStrike
欢迎关注我的微信公众号观看更多文章
XSS(跨站脚本攻击)相关推荐
- 渗透知识-XSS跨站脚本攻击
XSS跨站脚本攻击:两种情况.一种通过外部输入然后直接在浏览器端触发,即反射型XSS:还有一种则是先把利用代码保存在数据库或文件中,当web程序读取利用代码并输出在页面上时触发漏洞,即存储型XSS.D ...
- [网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了Python弱口令攻击.自定义字典生成,并构建了Web目录扫描器:本文将 ...
- xss跨站脚本攻击_网络安全xss跨站脚本攻击原理
以下在未经授权的网站操作均为违法行为 XSS跨站脚本攻击 xss的危害 网络钓鱼,盗取各类账号密码 我们先来看一下下面的案例:先来记住一下下面中的表 我们来做一个转发 上面页面显示已经登录,但是突然页 ...
- 遭遇 XSS 跨站脚本攻击?稳住,这些方法可保你渡劫 | 附代码、图解
作者 | 杨秀璋 责编 | 夕颜 出品 | CSDN博客 本文将详细讲解XSS跨站脚本攻击,从原理.示例.危害到三种常见类型(反射型.存储型.DOM型),并结合代码示例进行详细讲解,最后分享了如何预防 ...
- XSS(跨站脚本攻击)漏洞解决方案
XSS(跨站脚本攻击)漏洞解决方案 参考文章: (1)XSS(跨站脚本攻击)漏洞解决方案 (2)https://www.cnblogs.com/boboxing/p/9261996.html 备忘一下 ...
- XSS 跨站脚本攻击 的防御解决方案
XSS 跨站脚本攻击 的防御解决方案 参考文章: (1)XSS 跨站脚本攻击 的防御解决方案 (2)https://www.cnblogs.com/suwings/p/6285340.html 备忘一 ...
- 《XSS跨站脚本攻击剖析与防御》—第6章6.1节参 考 文 献
本节书摘来自异步社区<XSS跨站脚本攻击剖析与防御>一书中的第6章6.1节参 考 文 献,作者邱永华,更多章节内容可以访问云栖社区"异步社区"公众号查看. 参 考 文 ...
- XSS(跨站脚本攻击)相关内容总结整理
XSS的攻击相关资料整理 文章目录 XSS的攻击相关资料整理 跨站脚本攻击(XSS) XSS 简介 XSS 危害 XSS 原理 XSS 分类 XSS 防御总结 XSS 问答 参考资料 跨站脚本攻击(X ...
- 安全漏洞中的倚天剑——XSS跨站脚本攻击
one.概念 XSS跨站脚本攻击(Cross-Site Scripting)就是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行,XSS属于被动式的攻击,因为其被动且不好利用, ...
- XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结。
之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让自己在接下来的面试有个清晰的概念. XSS跨站脚本攻击: xss 跨站脚本攻击(Cross Site Scripting),为了不和 ...
最新文章
- 第11章 AOF持久化
- openstack安装在虚拟机上重启之后无法启动问题
- Struts工作原理
- 《系统集成项目管理工程师》必背100个知识点-65采购合同的支付方式
- velocity 继续之 语法学习篇
- 第二章课下测试补交博客
- getchar()到底怎么用_怎样才能真正发挥肥效,腐植酸水溶肥到底怎么用
- 数据科学与python语言实验——NumPy数值计算基础
- JavaScript实现封闭区域布尔运算
- 数据接口请求异常:error_springboot2.2.X手册:构建多元化的API接口,我们这样子设计
- 分享几款好用的强力数据恢复软件
- text显示下标的字体 unity_Text Mesh Pro中文版
- marshmallow
- Android Q版本实现自动连接WiFi
- 【Spring源码三千问】Advice、Advisor、Advised都是什么接口?
- 域名邮箱的创建,以及如何替换原有QQ邮箱,创建自己的邮箱
- Qt VTK软件开发问题学习记录
- 2021年最后一期 | 转录组分析的正确姿势你了解了吗?
- arm 协处理器cp14 cp15
- python学习 | web开发(一)前端引入和HTML标签
热门文章
- 创建linux虚拟机
- 达芬奇(DaVinciTM)技术背景介绍
- Virtual Box中彻底删除空闲虚拟机
- 论文解读:Hierarchical Question-Image Co-Attention for Visual Question Answering
- uniapp修改个人头像或是上传照片,或者自拍
- gmm ubm matlab,GMM-UBM和SVM在说话人识别中的应用
- 神雕侠侣手游服务器维修,《神雕侠侣》2021年4月8日更新维护新服开启公告
- 安装JDK时为什么要配置环境变量
- 聚合索引(clustered index) 和 非聚合索引(nonclustered index)
- 联想bios怎么开启TPM2.0?