当前位置: 首页 > article >正文

脚本注入网页:XSS

        跨站脚本攻击(Cross-Site Scripting,简称 XSS)是一种常见的网络安全漏洞。它是指攻击者在网页中注入恶意脚本代码,当用户访问该网页时,恶意脚本会在用户的浏览器中执行,从而导致一系列安全问题。这些问题可能包括窃取用户的敏感信息(如登录凭据、个人数据等)、劫持用户会话、进行恶意操作等。XSS 攻击主要利用了网页对用户输入内容处理不当的漏洞,是网络安全领域需要重点防范的威胁之一。

       1. 我们用几个靶场的界面来简单的了解一下XSS漏洞,首先是一个简单的页面,通过后端代码就可以指定在输入框中输入什么,前端就会显示什么。

我前面讲的是要将一段JavaScript代码注入到网页中,如果我们将代码执行上去,需要将信息弹出来,这里我们用代码如下,发现果然弹窗了,也就是说,如果我们能找到一个存在漏洞的输入框,并且将类似的执行代码放到输入框中,就能达到某些目的。

<script>alert('cyr')</script>

很明显上面是一个POST类型的例子,我们再举例一个GET类型的例子,先看看前端的代码

主要就是我们给它一个url,它会给到一个指向自己的超链接,例如我们输入下列代码,就发现它形成了一个指向baidu的超链接

http://localhost/xss/get.html?url=http://www.baidu.com

我们再通过get请求,给到一个JavaScript的伪协议 ,发现网站确实执行了这段代码,假如加入的是一段恶意代码,那当用户点击的时候就会达到攻击的目的。

2.XSS类型

(1)反射型XSS:

  1. 依赖用户交互:攻击者需要诱使用户点击包含恶意脚本的链接或提交包含恶意脚本的表单。
  2. 一次性攻击:恶意脚本仅在用户访问特定页面时执行一次,不会在用户的浏览器中持久存在。
  3. 局限性较大:攻击的效果和范围相对有限,通常只影响当前访问该页面的用户。
  4. 可见性低:恶意脚本在用户的浏览器中执行后,可能不会立即被用户察觉。

(2)存储型XSS:

  1. 持久存在性:恶意代码被存储在服务器端的数据库、文件或其他存储介质中,会被多个用户访问和执行。
  2. 广泛性影响:能影响到所有访问包含恶意代码页面的用户,危害范围较广。
  3. 隐蔽性较强:用户可能在不知情的情况下受到攻击,不易被察觉。


http://www.kler.cn/a/317058.html

相关文章:

  • 豆瓣均分9:不容错过的9本大模型入门宝藏书籍,非常详细收藏我这一篇就够了
  • Spring Boot 1.x 版本可以集成 Spring Cloud Sleuth
  • 项目集章程program charter
  • 软件测试面试2024最新热点问题
  • springboot 之 整合springdoc2.6 (swagger 3)
  • SpringSecurity源码中核心类
  • springboot中的异步任务
  • Matplotlib-数据可视化详解
  • 瑞芯微RK3588开发板Linux系统添加自启动命令的方法,深圳触觉智能Arm嵌入式鸿蒙硬件方案商
  • git show 命令
  • Unity中Rigidbody 刚体组件和Rigidbody类是什么?
  • 【flex-shrink】计算 flex弹性盒子的子元素的宽度大小
  • 【27】C++项目练习
  • 循环中用sleep
  • linux atomic 原子变量操作
  • 【Python报错已解决】AttributeError: ‘WindowsPath‘ object has no attribute ‘rstrip‘
  • 生成式AI:ChatGPT及其在各行业的应用前景
  • git学习报告
  • 深入探索迭代器模式的原理与应用
  • 从零开始写一个建立FAT32文件系统程序
  • MFC - 复杂控件_2
  • 【安装教程】Windows环境下Apache Jena Fuseki的安装与配置
  • qt-C++笔记之作用等同的宏和关键字
  • 模拟电路工程师面试题
  • 如何解决npm下载Puppeteer卡死的问题
  • YOLOv9改进策略【注意力机制篇】| 2024 SCI TOP FCAttention 即插即用注意力模块,增强局部和全局特征信息交互