XSS: 又叫跨站***,根据***类型分为以下三类:

1. 反射型 XSS -服务端没有把用户的输入数据进行标签过滤,直接在页面上输出。可能存在恶意代码的链接,诱导其他人点击进而实施***;

2. 存储型 XSS - 常见于博客系统中,***将含有恶意代码的数据直接写入 文章 、评论中 存储在服务器数据库中,所有浏览这个文章,查看这个的用户都会在浏览器上插入带有恶意***代码。

3. 基于DOM的 XSS跨站脚本***-通过修改DOM节点数据信息而形成的XSS***。

XSS在线竞赛平台:http://xss-quiz.int21h.jp

解题思路:

http://blog.csdn.net/yd0str/article/details/17297971

XSS防范:

1. 利用HttpOnly ,HttpOnly是在set-cookie时进行标记,这样的标记 使得浏览器将禁止页面的JavaScript访问这类Cookie,解决了***利用脚本盗用cookie会话行为;  引用于PHP源码文档中的说明:

* @param httponly bool[optional] <p>

* When true the cookie will be made accessible only through the HTTP

* protocol. This means that the cookie won't be accessible by

* scripting languages, such as JavaScript. This setting can effectively

* help to reduce identity theft through XSS attacks (although it is

* not supported by all browsers). Added in PHP 5.2.0.

* true or false

示例展示图片如下:

图一: 开启了HttpOnly 后,没用从JavaScript中读到cookie信息

2. 完善的输入输出检查

防范基于反射型XSS 和 存储型XSS:

必要的输入检查,对帐号密码信息等输入数据的合法性检查。比如:只允许下划线,字母,数字等数据规范,不允许不合规范的数据输入。

必要的输出检查,对取出来的信息进行HTML编码处理,将可能存在导致XSS跨站脚本***的恶意字符进行编码,对某些可能造成XSS***的字符进行过滤。

防范基于DOM的XSS:

依然把用户要展现出来的信息进行编码处理,输入的数据进行合法检测。

小结:初步了解XSS,慢慢学习ing!!

转载于:https://blog.51cto.com/longcong/1387034

XSS学习-初出茅庐相关推荐

  1. XSS学习-pikachu靶场之xss

    XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击 ...

  2. XSS学习-XSS挑战之旅(二)

    前言:之前打XSS平台时,打到了第11关就没有继续了,现在有空了就继续打咯,再增加点关于XSS的知识. 第十一关 这关坑我好长时间,看了好多博客直接给说修改Referer,给截图中都有自带的Refer ...

  3. XSS学习笔记(一)

    学习来源:https://edu.51cto.com/course/14449.html 靶场地址:https://github.com/zhuifengshaonianhanlu/pikachu 一 ...

  4. XSS学习笔记(未完)

    XSS基础学习 1. XSS 1.1 客户端Cookie: 1.2 XSS攻击类型 1.3 工具/平台 1.4 利用方式 1.4.1 非手工方式 1.4.1.1自动化攻击:beef 1.4.2 手工方 ...

  5. XSS学习笔记:XSS Challenges 1-19通关全详解

    前言 学习下XSS 主要是XSS Challenges 平台 共19关 模仿真实xss挖洞的情景,用浏览器中的f12中搜索,找出我们控制的代码所在的位置 思考那些个位置哪个或哪几个位置可以被注入我们想 ...

  6. XSS学习笔记:XSS Game(xss.pwnfunction.com)1-11通关全解

    前言 继续学习XSS 本篇是XSS Game平台的通关全解 1.Ma Spaghet! 源码 一个不安全的方式 直接get传输somebody 输入123看看位置 ?somebody=123 那就很简 ...

  7. Flash XSS 学习整理

    0x00 Flash XSS 本来想放弃的,问了大佬,还是说可以研究下...所以硬着头皮来弄了. 什么是flash xss? xss一是指执行恶意js,那flash xss呢?是因为flash有可以调 ...

  8. xss漏洞学习心得(泪目)

    XSS学习心得大杂烩 背景 xss的定义 xss漏洞的分类 xss绕过技巧payload 常见的有: 绕过payload 背景 领导给了我一些资产让我去测试,发现其中藏有不少的xss漏洞,含泪做一个总 ...

  9. XSS漏洞基础学习(笔记)

    包含一些基础的XSS学习. XSS跨站脚本分类 XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩 ...

最新文章

  1. 初学者怎么学单片机,嵌入式单片机培训机构有用吗?
  2. Django 的视图层
  3. Win10 KB4541335 部分用户遭遇系统蓝屏/性能下降问题
  4. 051_Unicode字符官方标准二
  5. 最重要的是跑完,而不是刚开始跑得有多快
  6. 严格对角占优矩阵特征值_二次型和特征值
  7. 判断文件是否存在如果不存在则创建
  8. python 描述符类_python的黑魔法--描述符
  9. MSComm控件过程中内存溢出和GetOneDimSize出错的问题
  10. 影视剧中的歌曲怎么录制 怎么录背景音乐
  11. WinRAR 曝出代码执行漏洞,你的官方中文无广告版该升级了
  12. ps快捷键-csdn
  13. ERROR [com.alibaba.druid.pool.DruidDataSource] - abandon connection
  14. [源码分析] 从FlatMap用法到Flink的内部实现
  15. ssh配置和多平台ssh配置
  16. c语言中switch结构,switch结构c语言
  17. 硬件系统工程师宝典(3)-----信号完整性分析是个啥?
  18. android工程换背景图片,Android初学者:用知乎Matisse开源项目制作更换应用背景图片功能...
  19. 鸿蒙系统支持980,稳了!鸿蒙系统升级名单再曝:至少麒麟980机型都能升级
  20. 五大系统OA,PM,KM,ERP,CRM简要说明

热门文章

  1. jd-gui的下载和使用
  2. c3p0和jdbctemplate配置oracle集群rac,C3P0连接池、DRUID连接池和JdbcTemplate
  3. python各个绘图的作用,深度讲解Python四大常用绘图库的“绘图原理”
  4. oracle log block size,案例:Oracle无法启动报错ORA-00218: block size 0 重建控制文件
  5. 超硬核,整理的这10个自动化测试框架,使用后简直如有神助
  6. 联想g400从u盘启动计算机,联想g400u盘装系统的方法
  7. linux搭建markdown服务,Markdown新手快速入门基础教程及Ubuntu下的安装
  8. js中如何得到循环中的点击的这个id_Js篇面试题9请说一下Js中的事件循环机制
  9. linux 进程做成服务,Linux自定义后台服务进程
  10. 工作失职的处理决定_工作失误处理决定