xss跨站脚本攻击_网络安全xss跨站脚本攻击原理
以下在未经授权的网站操作均为违法行为
XSS跨站脚本攻击
xss的危害
网络钓鱼,盗取各类账号密码
我们先来看一下下面的案例:先来记住一下下面中的表
我们来做一个转发
上面页面显示已经登录,但是突然页面中提醒再此登录
此时,我们并没有多想,之后依然输入账号密码登录进去。但是这时候在刚刚的数据库表中,多了一条数据。
该表为某个不法分子服务器中的表,这条数据为刚才用户所输入的用户名和密码。
这其中发生了什么呢?让我们一起来看看
如上图所示,我们正常的url应该是184.131
我们登录该网站后,鼠标放上去一动不动,则该网站自动跳转地址:
将刚才的131的地址直接变成了128
它自动跳转到了一个钓鱼页面,诱导用户去输入用户名和密码,这就叫做网络钓鱼?,利用xss做到的。
窃取用户cookies资料-伪装成用户登录
如果用户进不去某个好友的qq空间,如果可以拿到该好友的cookies,便能顺利进入。
强制弹出广告页面、刷流量
我们见过最多的都是透明的弹框,当用户访问一个大的网站中(该网站存在xss漏洞),随意点击一个地方便跳转到另一个网站,从而为该小网站去刷流量。
进行大量的客户端攻击,如ddos攻击
若一个小网站只能容纳100人的访问量,双十一来了,某大网站(该网站存在xss漏洞)在同一秒有10000人去访问,访问该大网站的时候同时不小心被用户点到了该小网站中,进而导致该小网站崩溃。
传播跨站蠕虫等
xss的原理
跨站脚本攻击,是代码注入的一种,它允许恶意用户将代码注入网页,其他用户在浏览网页就会受到影响。
提交后展示:
所有漏洞的问题本质上都存在于输入输出的控制!
aql注入是将用户输入的数据当作了sql语句放入了数据库执行。xss是将用户输入的数据当作了html语句放到了页面上执行。
这里有两个关键条件:
(1)用户能够控制输入
(2)原本程序要执行的代码,拼接了用户输入的数据
注:谷歌浏览器做了防止xss攻击的防御措施,若是开发童鞋想要开发网络安全,可以通过火狐浏览器去测试
xss的种类(安全界的分法)
反射型xss:你提交的数据成功的实现了xss,但是仅仅是对你这次访问产生了影响,是非持久型攻击(诱导用户去操作,如点击某个网站链接)
存储型xss:你提交的数据成功的实现了xss,存入了数据库,别人访问这个页面的时候会自动触发持久型
提交后:
变化的地方都存在于xss漏洞
dom型xss
漏洞的危害不取决于它本身,而是黑客本身的本领
xss的种类
什么是cookie?指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密)
COOKIE:客户端将用户名密码等信息给服务器,服务器返回用户身份对应的cookie给客户端,之后两人的身份认定,就靠cookie来进行。
简单地说,当用户使用浏览器访问一个支持cookie的网站的时候,用户会提供包括用户名在内的个人信息并且提交至服务器,服务器回传给用户这段个人信息的加密版,这些信息并不存放在http响应体(response body)中,而存放于http响应头(response header)
cookie有什么用?
区别身份,维持权限
伪造cookie我们可以获得他人权限
利用他人的身份权限做某事
搜索引擎中搜索"xsspt",搜索xss平台。安全性考虑:建议自己搭建属于自己的xss平台。
复制上面的某行代码到存在xss漏洞的网站
结果如下:
视图反常必有妖
利用xss获取目标cookie
在xss平台中可以看到我们获取到了目标cookie
以上讲解谨慎操作
xss跨站脚本攻击_网络安全xss跨站脚本攻击原理相关推荐
- 360cdn能挡住cc攻击_又被CC攻击弄得心有余悸?莫怕!这里教你如何防御
CC攻击原理 HTTP Flood 俗称CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,前身名为Fatboy攻击,也是一种常见的网站攻击方法.是针对 Web 服务 ...
- mysql注入带外通道攻击_防止SQL注入攻击的方法
防止SQL注入攻击的方法 发布时间:2020-08-25 14:18:13 来源:亿速云 阅读:78 作者:小新 小编给大家分享一下防止SQL注入攻击的方法,相信大部分人都还不怎么了解,因此分享这篇文 ...
- 局域网arp攻击_网络安全基础之ARP攻击和防御
本文转载于 SegmentFault 社区 作者:吴小风 前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的 ...
- 局域网arp攻击_网络安全工程师教Kali Linux:ARP欺骗概述
课前声明: 本分享仅做学习交流,请自觉遵守法律法规! 搜索:Kali与编程,学习更多网络攻防干货! 本节课中你将了解到: ARP欺骗的用处 什么是ARP 演示如何通信 ARP欺骗原理 一.ARP欺骗的 ...
- java arp 攻击_网络安全基础之ARP攻击和防御
前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的主角ARP协议,通过广播来获取IP地址对应的MAC地址. ...
- 局域网arp攻击_什么是arp攻击?arp攻击的解决方法有哪些?
对于网络攻击,在各种攻击手段中大家最熟悉的要数ddos和cc攻击,关于ARP攻击资讯了解应该不是很多.什么是arp攻击?关于ARP的资讯,想跟大家分析一下,希望大家对网络攻击有多一层的了解. arp攻 ...
- wifi 中间人攻击_什么是中间人攻击?该如何防止?
什么是中间人攻击?在中间人攻击中,攻击者将自己放置在两个设备(通常是Web浏览器和Web服务器)之间,并拦截或修改两者之间的通信.然后,攻击者可以收集信息并模拟这两个特工中的任何一个.除了网站之外,这 ...
- xss跨站脚本攻击_常见攻击之xss跨站脚本攻击
前言 随着互联网的不断发展,web应用的互动性也越来越强.相应的,在用户体验提升的同时安全风险也会跟着有所增加.今天,我们就来讲一讲web渗透中常见的攻击方式之一,XSS攻击.首先需要了解他是如何工作 ...
- 网络安全——XSS跨站脚本攻击
一.XSS概述 1.XSS被称为跨站脚本攻击,由于和CSS重名,所以改为XSS: 2.XSS主要基于JavaScript语言完成恶意的攻击行为,因为JavaScript可以非常灵活的操作html.CS ...
最新文章
- TitanDB 中使用Compaction Filter ,产生了预期之外几十倍的读I/O
- 利用计算机进行自动控制 控制对象主要指,计算机试卷10
- 安装memcached服务和PECL关于memcache的两个PHP扩展
- How is ngModelController initialized
- 转:pysqlite笔记
- 位运算java_Java中的位运算
- 关于Mysql5.5在关键字方面的变化
- dreamweaver代码提示失效
- Android手机多种截图方式
- 利用python在excel中画图
- MFS详解(一)——MFS介绍
- 网络安全与网站安全及计算机安全:如何下载到Windows各版本的Nmap网络扫描神器
- skywalking本地配置探针 打TID
- 多亏了这几款软件,我才能坚持写博客这么多年!
- equest源码分析及其与==的区别
- SOHO 企业网吧 路由器 智能QoS 3G MIFI
- html表格中加函数,excel中的substitute函数
- HTML动画实现唱片封面,HTML5专辑封面创意设计
- 踩坑:重写了alert方法,在点击事件中调用苹果手机不兼容
- linux运行php文件
热门文章
- VS2013中CUDA的配置
- 神经网络相关的笔试题目集合(一)
- 王爽 汇编语言第三版 第7章 --- 更灵活的定位内存地址的方法(可以理解为 数组形式的内存定位)
- Java加密与解密的艺术~RSA实现
- 用户权限管理——DB设计篇
- php2twig,symfony2 twig模板引擎,symfony2twig模板_PHP教程
- xd使用技巧_魔兽世界怀旧服老玩家才会的治疗技巧,这四个技能需要看时机选择...
- 矿井通风计算c语言_矿井主通风机的技术发展现状与未来发展趋势
- USB应用开发笔记之一:STM32上实现USB主机读写U盘
- 软件工程课的分数系统,和打分方法