首页 > 其他分享 >XSS攻击是什么

XSS攻击是什么

时间:2023-01-25 19:44:25浏览次数:43  
标签:XSS 攻击 恶意代码 什么 HTML cookie 防御 攻击者

攻击者可以通过向Web页面里面插入script代码,当用户浏览这个页面时,就会运行被插入的script代码,达到攻击者的目的。XSS的危害一般是泄露用户的登录信息cookie,攻击者可以通过cookie绕过登录步骤直接进入站点。

XSS的分类分为反射型和存储型。反射型就是临时通过url访问网站,网站服务端将恶意代码从url中取出,拼接在HTML中返回给浏览器,用户就会执行恶意代码。存储型就是将恶意代码以留言的形式保存在服务器数据库,任何访问网站的人都会受到攻击。预防XSS攻击的方案基本是对数据进行严格的输出编码,比如HTML元素的编码,JavaScript编码,css编码,url编码等等。

加分回答 XSS的危害: - 获取cookie:网站中的登录一般都是用cookie作为某个用户的身份证明,这是服务器端返回的一串字符。如果cookie被攻击者拿到,那么就可以绕过密码登录。当空间、论坛如果可以被插入script代码,那么进入空间或者论坛的人的账号就可以轻易被攻击者获取。 - 恶意跳转:直接在页面中插入window.location.href进行跳转。 XSS的分类: - 反射型XSS(非持久型XSS):通过URL参数直接注入 - 存储型XSS(持久型XSS):存储到数据库后读取时注入 XSS的预防: - 浏览器的防御和“X-XSS-Protection”有关,默认值为1,即默认打开XSS防御,可以防御反射型的XSS,不过作用有限,只能防御注入到HTML的节点内容或属性的XSS,例如URL参数中包含script标签。不建议只依赖此防御手段。 - 防御HTML节点内容,通过转义<为<以及>为>来实现防御HTML节点内容。 - 预防HTML属性,通过转义"->&quto来实现防御,一般不转义空格,但是这要求属性必须带引号。 - 预防JavaScript代码,通过将数据进行JSON序列化。 - 防御富文本是比较复杂的工程,因为富文本可以包含HTML和script,这些难以预测与防御,建议是通过白名单的方式来过滤允许的HTML标签和标签的属性来进行防御,大概的实现方式是: - 将HTML代码段转成树级结构的数据 - 遍历树的每一个节点,过滤节点的类型和属性,或进行特殊处理 - 处理完成后,将树级结构转化成HTML代码 - 开启浏览器XSS防御:Http Only cookie,禁止 JavaScript 读取某些敏感 Cookie,攻击者完成XSS注入后也无法窃取此 Cookie。

XSS指跨站脚本攻击,是攻击者通过向被攻击网站注入恶意代码实现攻击,当被攻击者登录这些网站是就会执行恶意代码,读取cookie、session cookie以及其他敏感信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等

标签:XSS,攻击,恶意代码,什么,HTML,cookie,防御,攻击者
From: https://www.cnblogs.com/jycom/p/17067202.html

相关文章

  • CSRF攻击是什么
    CSRF攻击的过程原理是:-用户打开浏览器,访问目标网站A,输入用户名和密码请求登录-用户信息在通过认证后,网站A产生一个cookie信息返回给浏览器,这个时候用户以可正常发送请......
  • 说一说JS数据类型有哪些,区别是什么?
    Number、String、Boolean、BigInt、Symbol、Null、Undefined、Object、8种标准回答JS数据类型分为两类:一类是基本数据类型,也叫简单数据类型,包含7种类型,分别是Number、St......
  • Java什么情况下数据类型可以自动转换?什么情况下需要强制转换?
    在程序中,当把一种数据类型的值赋给另一种数据类型的变量时,需要进行数据类型转换。自动类型转换也叫隐式类型转换,指的是两种数据类型在转换的过程中不需要显式地进行声明。当......
  • 缓冲区溢出攻击
    首先为了方便观察汇编语句,需要在32位环境下进行操作,首先在Kali中安装相关编译应用:输入命令linux32进入32位linux环境,输入/bin/bash使用bash,使用exit退出linux32位环境......
  • 什么是闭包?
    目录引入闭包发现问题用汇编的来解释闭包引入闭包不知道什么是闭包,推荐去看看这个视频:【python技巧060】形象理解闭包,玩转闭包https://www.bilibili.com/video/BV1Vx......
  • RSA dp泄漏攻击
    dp泄漏攻击给n,e,dp,c\[\begin{array}{l}&&&&&&&&&&&&&\\dp\equivd(\bmod(p-1))\\\becausedp\cdote\equivd\cdote\equiv1(\bmod(p-1))\\\th......
  • 什么是大数据、人工智能?
     一、何为统计学?统计学:研究对象:统计学是通过数据认识客观现象,认识客观现象数量规律性的方法论科学。分类:数理统计、经济统计、金融统计、生物统计、政府......
  • NodeJS - XSS-Attribute
    参考:https://owasp-skf.gitbook.io/asvs-write-ups/cross-site-scripting-attribute-xss-attribute/kbid-3-xss-attributef12看看修改color的值,英文句子就会改变颜色,这......
  • NodeJS - XSS-href
    参考:https://owasp-skf.gitbook.io/asvs-write-ups/cross-site-scripting-href-xss-href/kbid-3-xss-url输入https://www.baidu.com再点击visit,会跳转至百度页面,这里可能......
  • NodeJS - XSS
    首先进入/skf-labs-master/XSS文件夹下,执行命令:$npminstall$npmstart抓包看看内容查看源码app.post("/home",(req,res)=>{letuserInput=req.body.stri......