反射型xss（跨站脚本攻击）

通常人们会把跨站脚本攻击（Cross Site Scripting）缩写为CSS），但是这与浏览器的层叠样式表css会混淆，所以人们把跨站脚本攻击缩写为xss。

xss原理：其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。（简单一句话是html代码注入）

注入的本质就是：把用户的输入的数据当作代码执行。

xss注入的关键：1、第一个是用户能够控制输入 2、原本程序要执行的代码，拼接了用户输入的数据

xss主要拼接的是什么？

sql注入拼接的是操作数据库的sql语句。xss拼接的是网页的html代码。我们一般会拼接出合适的html代码去执行恶意的js语句。

xss能做什么？

盗取cooike、获取内网ip，等等。应为达到各种各样的效果需要比较复杂的代码，所以xss平台应哟个而生，{xsspt.com}xss平台大大方便了xss攻击，只需要引入一个平台就可以实现功能。

xss的类型

1、反射型xss（你提交了数据成功实现了xss。但是这是对你这次访问产生了影响，并非持久性攻击）

2、储存型xss(你提交了数据成功实现了xss。并且存入了数据库，别人访问这个页面的时候就会自动出发）

3、dom型xss（较复杂）

怎么检测是否存在xss？

1、一般方法是让浏览器弹窗（alert）经典的弹窗语句：

2、一般证明xss是不是存在，就是在正常页面传参然后构建参数让他弹窗就是存在xss了

xss真的执行恶意代码的实际上是js语句，有三种类型

1、（这个是定义Js的标签）

2、javascript：alert（1）经典代码textjavascript实际上是一个伪协议

伪协议不同于互联网上的协议，如http://,https://

JavaScript：伪协议实际上是声明了url的主体是任意的JavaScript代码

3、事件可以执行js的：οnerrοr=alert（1）在加载文档或者图片的时候发生错误

反射型xss（跨站脚本攻击）相关推荐

1. 渗透知识-XSS跨站脚本攻击

   XSS跨站脚本攻击:两种情况.一种通过外部输入然后直接在浏览器端触发,即反射型XSS:还有一种则是先把利用代码保存在数据库或文件中,当web程序读取利用代码并输出在页面上时触发漏洞,即存储型XSS.D ...

2. [网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）

   这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步.前文分享了Python弱口令攻击.自定义字典生成,并构建了Web目录扫描器:本文将 ...

3. 对未标记为可安全执行的脚本_三、??XSS跨站脚本攻击

   跨站脚本攻击(Cross Site Scripting),缩写为XSS.恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意 ...

4. xss跨站脚本攻击_网络安全xss跨站脚本攻击原理

   以下在未经授权的网站操作均为违法行为 XSS跨站脚本攻击 xss的危害 网络钓鱼,盗取各类账号密码 我们先来看一下下面的案例:先来记住一下下面中的表 我们来做一个转发 上面页面显示已经登录,但是突然页 ...

5. 遭遇 XSS 跨站脚本攻击？稳住，这些方法可保你渡劫 | 附代码、图解

   作者 | 杨秀璋 责编 | 夕颜 出品 | CSDN博客 本文将详细讲解XSS跨站脚本攻击,从原理.示例.危害到三种常见类型(反射型.存储型.DOM型),并结合代码示例进行详细讲解,最后分享了如何预防 ...

6. XSS(跨站脚本攻击)相关内容总结整理

   XSS的攻击相关资料整理 文章目录 XSS的攻击相关资料整理 跨站脚本攻击(XSS) XSS 简介 XSS 危害 XSS 原理 XSS 分类 XSS 防御总结 XSS 问答 参考资料 跨站脚本攻击(X ...

7. 安全漏洞中的倚天剑——XSS跨站脚本攻击

   one.概念 XSS跨站脚本攻击(Cross-Site Scripting)就是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行,XSS属于被动式的攻击,因为其被动且不好利用, ...

8. XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结。

   之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让自己在接下来的面试有个清晰的概念. XSS跨站脚本攻击: xss 跨站脚本攻击(Cross Site Scripting),为了不和 ...

9. XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结

   转载:https://blog.csdn.net/baidu_24024601/article/details/51957270 XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结. <di ...

10. XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决

    XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, ...

最新文章

1. Hadoop详解（八）：MapReduce深度分析
2. OpenCV在Linux中安装
3. 数组——两个有序数组的合并
4. 自动化测试框架实践2--STAF
5. 谷歌、阿里巴巴他们都来了，你呢？
6. httpd svn 编译安装_如何安装CA证书？
7. 【论文写作】网上选课系统中模块设计如何写
8. 最大-最小 滤波器实现 及用于边缘检测
9. python导入requests库_windows环境中python导入requests
10. Atitit.java 虚拟机的构成 与指令分类 与 指令集合 以及字节码查看工具javjap
11. 产品01]-产品经理初步认知-产品经理定义/职责/分类
12. 【PS】怎么让一张模糊图片更清晰？
13. 设计模式总览及工厂模式详解
14. python flask token_Flask 用户名密码登录获取token
15. Python实现常用的假设检验
16. 彻底理解js的作用域链
17. hping3使用手册
18. 成功解决Myeclipse2017破解时遇到的crack.bat文件闪退问题
19. 干活的干不过写PPT的 新东方年会吐槽奖金追加至12万-千氪
20. 解决Sublime出现中文乱码的情况

热门文章

1. opencv的安装及使用
2. Mac 中 vim 插件配置 —— 以YouCompleteMe 为例
3. Infraworks 使用问题总结
4. 在ubuntu上使用v4l2loopback和ffmpeg模拟摄像头
5. Windows环境使用Python自动切换代理IP
6. 使用安装AidLux的安卓手机，部署落地智慧社区AI应用
7. 计算机动漫与游戏制作课程安排,计算机动漫与游戏制作专业教学计划
8. ClassCastException:ArrayList cannot be cast to class.Account
9. android internal storage 路径,内部存储InternalStorage和外部存储ExternalStorage-Android
10. 判断下列说法的正误_判断下列说法的正误。（1）《蝉》中写到蝉的叫声使人“很烦”‘聒聒”，...