XSS漏洞原理、分类、危害及防御
一、XSS简介
XSS全称:跨站脚本(Cross Site Scripting) ,为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS;攻击者会向web页面(input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的。
二、XSS原理
服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的。
三、XSS分类
1、反射型(非持久型)
反射型XSS,又称非持久型XSS,攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,恶意代码并没有保存在目标网站,而Web应用程序只是不加处理的把该恶意脚本“反射”回受害者的浏览器而使受害者的浏览器执行相应的脚本。
2、存储型(持久型)
存储型XSS是指应用程序通过Web请求获取不可信赖的数据,在未检验数据是否存在XSS代码的情况下,便将其存入数据库。当下一次从数据库中获取该数据时程序也未对其进行过滤,页面再次执行XSS代码持续攻击用户。存储型XSS漏洞大多出现在留言板、评论区,用户提交了包含XSS代码的留言到数据库,当目标用户查询留言时,那些留言的内容会从服务器解析之后加载出来。
3、DOM型(非持久型)
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式,DOM-XSS简单理解就是不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题。
四、XSS漏洞的危害
1.窃取用户Cookie
2.后台增删改文章
3.XSS钓鱼攻击
4.利用XSS漏洞进行传播和修改网页代码
5.XSS蠕虫攻击
6.网站重定向
7.获取键盘记录
8.获取用户信息等
五、XSS漏洞防御
1、对输入和URL参数进行过滤(白名单和黑名单)
检查用户输入的数据中是否包含一些特殊字符,如<、>、’、“等,发现存在特殊字符,将这些特殊字符过滤或者编码。
2、HTML实体编码
字符串js编码转换成实体html编码的方法(防范XSS攻击)
https://www.cnblogs.com/dearxinli/p/5466286.html
3、对输出内容进行编码
在变量输出到HTML页面时,可以使用编码或转义的方式来防御XSS攻击。
负责声明:部分图片转载自https://jingyan.baidu.com/article/495ba841a771f538b30ede82.html,版权归原网站或作者本人所有,若有无意侵权或转载不当之处请联系我处理,谢谢合作!
XSS漏洞原理、分类、危害及防御相关推荐
- 简述xss漏洞原理及危害?xss漏洞有哪些类型?xss漏洞哪个类型危害最大?如何防御xss漏洞
Xss漏洞原理:服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的. 危害: 1.窃取用户Cookie 2.后台增删改文章 3.XS ...
- 常见web漏洞原理,危害,防御方法
一 暴力破解 概述: 在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取. 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果. 为了提高效率,暴力破解一般会使用带有字 ...
- XSS漏洞原理和利用
XSS漏洞原理和利用 XSS漏洞的危害 1.窃取用户Cookie,如果用户Cookie被窃取,攻击者可以不通过密码,而直接登录用户账户 2.使用XMLHttpRequest构造模拟用户请求操作 3.X ...
- Xss漏洞原理分析及简单的讲解
感觉百度百科 针对XSS的讲解,挺不错的,转载一下~ XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS, ...
- XSS漏洞原理及攻击
XSS漏洞原理 XSS介绍 XSS漏洞介绍 1. 跨站脚本(Cross-Site Scripting),简称为XSS或CSS或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种. ...
- Web安全常见漏洞原理、危害及其修复建议
web安全常见漏洞原理.危害及其修复建议 一. SQL注入漏洞 原理 危害 修复建议 二.XSS漏洞 原理 危害 修复建议 三. CSRF漏洞 原理 危害 修复建议 四. SSRF漏洞 原理 危害 预 ...
- XSS漏洞原理/方式/防御
XSS又叫跨站脚本攻击 , 攻击的对象是客户端 原理 攻击者在Web页面插入恶意JS代码,用户浏览网页的时候,JS代码会被执行,从而攻击正常用户 危害 比如通过cookie获取管理员权限 ; 网页挂马 ...
- 常见十大漏洞总结(原理、危害、防御)
弱口令 产生原因 与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是直接采用系统的默认密码等. 危害 通过弱口令,攻击者可以进入后台修改资料,进入金融系统盗取钱财,进入O ...
- 网络安全常见十大漏洞总结(原理、危害、防御)
一.弱口令[文末福利] 产生原因 与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是直接采用系统的默认密码等. 危害 通过弱口令,攻击者可以进入后台修改资料,进入金融系统 ...
最新文章
- python unicode编码转换中文_python unicode转中文及转换默认编码
- pxe网络安装操作系统 原理与详细过程
- java中http解析url,java url 编码(解析http请求汉语言地址 )
- Linux下Python脚本自启动与定时任务详解
- angular ajax get post 参数,AngularJS - $ http.post发送请求参数而不是JSON的任何方式?...
- UVA 10154 Weights and Measures
- No virtual method diskCacheStrategy
- 服务器java项目转移到另一个盘_将svn的项目从一台服务器转移到另外一台服务器...
- Angular / RxJs我应该何时退订`Subscription`
- LoadRunner 11压测时碰到错误Error: missing newline in *:\*****\*.dat
- 用python模拟《流浪地球》的木星引力弹弓效应
- 出海业务网络加速方案技术能力详解
- Dell Inspiron 3443 BIOS升级问题解决
- oracle数据库左链接,Oracle数据库中的左连接与右连接
- android 获取签名的md5值,获取Android MD5签名
- 无版权,全免费,请收藏这10个免费高清无权素材网站
- python录制音频
- CATIA飞机协同设计制造图形工作站配置方案
- 简单了解cri,runtimes,CRI,shim
- Java中的即时编译器