一、xss攻击简介
- 1、OWASP TOP 10之一,XSS被称为跨站脚本攻击(Cross-site-scripting)
- 2、紧张基于java script(JS)完成恶意攻击行为。JS可以非常灵活的操纵html、css和浏览器,这使得XSS攻击的“想象”空间特别大。
- 3、XSS通过将精心构造代码(JS)代码注入到网页中,并由浏览器表明运行这段JS代码,以到达恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会剖析这段XSS代码,也就是说用户被攻击了。
- 4、微博、留言板、谈天室等等收集用户输入的地方,都有大概被注入XSS代码,都存在遭受XSS的风险,只要没有对用户的输入举行严格过滤,就会被XSS
二、xss攻击危害
- 1、偷取各类用户帐号,如呆板登录帐号、用户网银帐号、各类管理员帐号
- 2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
- 3、盗窃企业紧张的具有商业价值的资料
- 4、非法转账
- 5、强制发送电子邮件
- 6、网站挂马 让更多人的受害
- 7、控制受害者呆板向其它网站发起攻击 卖肉机
- 8、蠕虫式的DDoS攻击。
三、xss的原理
- 攻击者对含有毛病的服务器发起XSS攻击(注入JS代码)。
- 诱使受害者打开受到攻击的服务器URL。
- 受害者在Web浏览器中打开URL,恶意脚本执行。
四、XSS攻击的分类
非持久性跨站点脚本攻击
攻击是一次性的,仅对当次的页面访问产生影响存储型
攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据不停存在
既大概是反射型的,也有大概是存储型的。
基于文档对象模型(Document Objeet Model,DOM)的一种毛病
五、构造xss攻击脚本
1、常用的html标签
- <iframe>iframe标签会创建包罗另外一个文档的内联框架
<iframe οnlοad=alert(1)></iframe>
- <details> 标签通过提供用户开启关闭的交互式控件,规定了用户可见的或者隐蔽的需求的补充细节。ontoggle 事件规定了在用户打开或关闭 <details> 元素时触发:
<details οntοggle=alert(1)>
- <textarea> textarea标签界说多行的文本输入控件
<textarea οnfοcus=alert(1) autofocus>
<img src=1 οnerrοr=alert(1)>
<img src=1 οnerrοr=alert("xss")>
- <svg> 标签用来在HTML页面中直接嵌入SVG 文件的代码。
<svg οnlοad=alert(1)>
- <script> script标签用于界说客户端脚本,比如JavaScriptscript
<script>alert(1)</script>
<script>alert("xss")</script>
- script标签既可以包罗脚本语句,也可以通过src属性指向外部脚本文件
- 必需的type属性规定脚本的范例。
- JavaScript的常见应用是图像操纵、表单验证以及动态内容更新。
2、常用的is脚本
- alert :alert方法用于体现带有一条指定消息和一个确认按钮的告诫框
- YRS,并筢别览器量定尚劉新的资鲁用于获得当前页面的地址
- location.href:返回当前体现的文档的完备URL
- onload:-张页面或一幅图像完成加载
- onsubmit:一个按钮被点击
- onerror:在加载文档或图像时发生错误
六、构造脚本的方式
- 弹窗告诫
- 页面嵌套
- 页面重定向。
- 弹窗告诫并重定向
- 图片标签利用
- 绕开过滤的脚本
- 存储型xss基本演示
- 访问恶意代码(网站种马)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
