XSS介绍

XSS(Cross Site Scripting)跨站脚本攻击,它与层叠样式表CSS(Cascading Style
Sheets)的缩写混淆。因此,将跨站脚本攻击缩写为XSS。

XSS危害

XSS攻击,通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

XSS分类:

反射型(又称非持续性)
存储型(又称持续性)
DOM型

反射型

反射型XSS,又称非持续性XSS,这种攻击不是持续的,简单点来说,它是一次性的,它的原理是恶意代码存在URL中,用户点击带有恶意参数的URL触发代码,此类型漏洞一般存在于搜索框里。

存储型

又称持续性,此类漏洞的恶意代码会存储在数据库里面,用户每次访问访问该页面的时候都会触发代码,这种类型也是三种类型里面最危险的一种,一般存在于留言板,发表文章,或者个人信息哪里。

DOM型

DOM型XSS严格来说应该归属到反射型XSS,因为它并没有将恶意代码存储到数据库内。DOM XSS是基于文档对象模型(Document Object Model)的一种xss。

XSS工具介绍

beef-xss

beef-xss是一个web框架攻击平台,parrot和kali等渗透测试系统,都集成beef,而且beef有很多好使的payload。
比如XSS这个漏洞,beef可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,非常强大。

XSStrike

XSStrike是目前比较流行的一款xss检查工具,它只针对反射型和DOM型,对参数进行模糊测试之后构建合适的payload,使用payload对参数进行穷举匹配,内置爬虫功能,检测并尝试绕过WAF,同时支持GET及POST方式,大多数payload都是由作者精心构造,误报率极低。

下载地址:https://github.com/s0md3v/XSStrike

欢迎关注我的微信公众号观看更多文章

XSS(跨站脚本攻击)相关推荐

  1. 渗透知识-XSS跨站脚本攻击

    XSS跨站脚本攻击:两种情况.一种通过外部输入然后直接在浏览器端触发,即反射型XSS:还有一种则是先把利用代码保存在数据库或文件中,当web程序读取利用代码并输出在页面上时触发漏洞,即存储型XSS.D ...

  2. [网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)

    这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了Python弱口令攻击.自定义字典生成,并构建了Web目录扫描器:本文将 ...

  3. xss跨站脚本攻击_网络安全xss跨站脚本攻击原理

    以下在未经授权的网站操作均为违法行为 XSS跨站脚本攻击 xss的危害 网络钓鱼,盗取各类账号密码 我们先来看一下下面的案例:先来记住一下下面中的表 我们来做一个转发 上面页面显示已经登录,但是突然页 ...

  4. 遭遇 XSS 跨站脚本攻击?稳住,这些方法可保你渡劫 | 附代码、图解

    作者 | 杨秀璋 责编 | 夕颜 出品 | CSDN博客 本文将详细讲解XSS跨站脚本攻击,从原理.示例.危害到三种常见类型(反射型.存储型.DOM型),并结合代码示例进行详细讲解,最后分享了如何预防 ...

  5. XSS(跨站脚本攻击)漏洞解决方案

    XSS(跨站脚本攻击)漏洞解决方案 参考文章: (1)XSS(跨站脚本攻击)漏洞解决方案 (2)https://www.cnblogs.com/boboxing/p/9261996.html 备忘一下 ...

  6. XSS 跨站脚本攻击 的防御解决方案

    XSS 跨站脚本攻击 的防御解决方案 参考文章: (1)XSS 跨站脚本攻击 的防御解决方案 (2)https://www.cnblogs.com/suwings/p/6285340.html 备忘一 ...

  7. 《XSS跨站脚本攻击剖析与防御》—第6章6.1节参 考 文 献

    本节书摘来自异步社区<XSS跨站脚本攻击剖析与防御>一书中的第6章6.1节参 考 文 献,作者邱永华,更多章节内容可以访问云栖社区"异步社区"公众号查看. 参 考 文 ...

  8. XSS(跨站脚本攻击)相关内容总结整理

    XSS的攻击相关资料整理 文章目录 XSS的攻击相关资料整理 跨站脚本攻击(XSS) XSS 简介 XSS 危害 XSS 原理 XSS 分类 XSS 防御总结 XSS 问答 参考资料 跨站脚本攻击(X ...

  9. 安全漏洞中的倚天剑——XSS跨站脚本攻击

    one.概念 XSS跨站脚本攻击(Cross-Site Scripting)就是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行,XSS属于被动式的攻击,因为其被动且不好利用, ...

  10. XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结。

    之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让自己在接下来的面试有个清晰的概念. XSS跨站脚本攻击: xss 跨站脚本攻击(Cross Site Scripting),为了不和 ...

最新文章

  1. 第11章 AOF持久化
  2. openstack安装在虚拟机上重启之后无法启动问题
  3. Struts工作原理
  4. 《系统集成项目管理工程师》必背100个知识点-65采购合同的支付方式
  5. velocity 继续之 语法学习篇
  6. 第二章课下测试补交博客
  7. getchar()到底怎么用_怎样才能真正发挥肥效,腐植酸水溶肥到底怎么用
  8. 数据科学与python语言实验——NumPy数值计算基础
  9. JavaScript实现封闭区域布尔运算
  10. 数据接口请求异常:error_springboot2.2.X手册:构建多元化的API接口,我们这样子设计
  11. 分享几款好用的强力数据恢复软件
  12. text显示下标的字体 unity_Text Mesh Pro中文版
  13. marshmallow
  14. Android Q版本实现自动连接WiFi
  15. 【Spring源码三千问】Advice、Advisor、Advised都是什么接口?
  16. 域名邮箱的创建,以及如何替换原有QQ邮箱,创建自己的邮箱
  17. Qt VTK软件开发问题学习记录
  18. 2021年最后一期 | 转录组分析的正确姿势你了解了吗?
  19. arm 协处理器cp14 cp15
  20. python学习 | web开发(一)前端引入和HTML标签

热门文章

  1. 创建linux虚拟机
  2. 达芬奇(DaVinciTM)技术背景介绍
  3. Virtual Box中彻底删除空闲虚拟机
  4. 论文解读:Hierarchical Question-Image Co-Attention for Visual Question Answering
  5. uniapp修改个人头像或是上传照片,或者自拍
  6. gmm ubm matlab,GMM-UBM和SVM在说话人识别中的应用
  7. 神雕侠侣手游服务器维修,《神雕侠侣》2021年4月8日更新维护新服开启公告
  8. 安装JDK时为什么要配置环境变量
  9. 聚合索引(clustered index) 和 非聚合索引(nonclustered index)
  10. 联想bios怎么开启TPM2.0?