学途无忧
标题: 腾讯大牛教你web前后端漏洞分析与防御 慕课网 [打印本页]
作者: admin 时间: 2020-6-20 15:23
标题: 腾讯大牛教你web前后端漏洞分析与防御 慕课网
腾讯大牛教你web前后端漏洞分析与防御 慕课网
xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。
大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根源。
常见的xss攻击方法1.绕过XSS-Filter,利用<>标签注入Html/JavaScript代码;
2.利用HTML标签的属性值进行xss攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的Web浏览器都支持Javascript伪协议,所以此类XSS攻击具有一定的局限性)
3. 空格、回车和Tab。如果XSS Filter仅仅将敏感的输入字符列入黑名单,比如javascript,用户可以利用空格、回车和Tab键来绕过过滤,例如:<img src=“javas cript:alert(/xss/);”/>;
4. 利用事件来执行跨站脚本。例如:<img src=“#” onerror= “alert(1)”/>,当src错误的视乎就会执行onerror事件;
5. 利用CSS跨站。例如:Body {backgrund-image: url(“javascript:alert(‘xss’)”)};
6. 扰乱过滤规则。例如:<IMG SRC=“javaSCript: alert(/xss/);”/>;
7.利用字符编码,透过这种技巧,不仅能让XSS代码绕过服务端的过滤,还能更好地隐藏Shellcode;(JS支持unicode、eacapes、十六进制、十进制等编码形式)
8.拆分跨站法,将xss攻击的代码拆分开来,适用于应用程序没有过滤 XSS关键字符(如<、>)却对输入字符长度有限制的情况下;
9.DOM型的XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上,它不依赖于提交数据到服务器,而是从客户端获得DOM中的数据在本地执行。
容易导致DOM型的XSS的输入源包括:Document.URL、Location(.pathname|.href|.search|.hash)、
Document.referrer、Window.name、Document.cookie、localStorage/globalStorage;
作者: ahhh 时间: 2020-6-20 16:23
作者: robertal 时间: 2020-6-20 18:03
11111111111111111111
作者: xiao 时间: 2020-6-20 18:06
122222222222222222
作者: Superset 时间: 2020-6-20 20:03
十分士大夫撒地方
作者: g751634557 时间: 2020-6-21 18:05
腾讯大牛教你web前后端漏洞分析与防御 慕课网 [修改]
作者: ljh19138 时间: 2020-6-22 09:31
dfffffffffffffffff
作者: jiangtao1027 时间: 2020-6-22 09:47
666666666666666
作者: sgy 时间: 2020-6-22 10:04
9999999999999999999
作者: network 时间: 2020-6-22 14:19
66666666666666666666
作者: readm 时间: 2020-6-23 02:08
545645646545646546546546465
作者: szy0syz 时间: 2020-6-23 09:04
非常感谢。。。。。。
作者: qq2237278668 时间: 2020-6-23 09:43
作者: beiluoshimen12 时间: 2020-6-23 09:52
6666666666666666
作者: rooffy 时间: 2020-6-23 21:40
腾讯大牛教你web前后端漏洞分析与防御 慕课网
作者: 15207148740 时间: 2020-6-24 09:25
腾讯大牛教你web前后端漏洞分析与防御
作者: 15207148740 时间: 2020-6-24 09:25
腾讯大牛教你web前后端漏洞分析与防御
作者: 沱长 时间: 2020-6-25 08:11
腾讯大牛教你web前后端漏洞分析与防御
作者: Mrhoney 时间: 2020-8-20 17:32
谢谢大神分享
作者: appin 时间: 2020-10-4 10:46
Web前后端漏洞分析与防御Web前后端漏洞分析与防御
作者: 一年之后 时间: 2020-10-4 14:57
来执行跨站脚本。例如:<img src=“#” onerror= “alert(1)”/>,当src
作者: mcqnby 时间: 2020-10-14 15:23
腾讯大牛教你web前后端漏洞分析与防御 慕课网 [修改]
作者: pengyang317 时间: 2020-11-2 09:34
腾讯大牛教你web前后端漏洞分析与防御 慕课网 [修改]
作者: lizhen5117 时间: 2020-11-11 15:04
999999999999999
作者: 你好丶明天 时间: 2020-12-17 14:46
111111111111111111111111
作者: gongzhudewangzi 时间: 2020-12-20 19:27
辅导辅导费地方地方
作者: Un4ever 时间: 2020-12-21 11:59
好人一生平阿安
作者: uvuv 时间: 2021-6-11 13:13
;就开了绿绿绿绿绿绿绿绿绿绿绿
作者: huanghao2693 时间: 2021-6-12 09:35
感谢分享
作者: lijm1206 时间: 2021-6-14 05:29
感谢分享
作者: development 时间: 2021-6-15 16:04
123123123123123123
作者: KilSl 时间: 2021-6-20 21:27
感谢楼主分享
作者: 盖世英雄 时间: 2021-7-7 13:38
腾讯大牛教你web前后端漏洞分析与防御
作者: 鹅卵石 时间: 2021-8-2 10:14
阿斯顿发斯蒂芬啊啊
作者: shijinke1990 时间: 2022-4-22 02:55
Web前后端漏洞分析与防御
作者: dingf2099 时间: 2022-4-30 09:53
腾讯大牛教你web前后端漏洞分析与防御
作者: ruby_tian 时间: 2022-6-26 19:02
RE: 腾讯大牛教你web前后端漏洞分析与防御 慕课网 [修改]
作者: ifer 时间: 2023-12-19 15:00
犯得上发射点
欢迎光临 学途无忧 (http://xuetu123.com/) |
Powered by Discuz! X3.2 |