联系客服1
联系客服2

腾讯大牛教你web前后端漏洞分析与防御 慕课网

37
回复
4777
查看
打印 上一主题 下一主题
[复制链接]
  • TA的每日心情
    开心
    2024-9-19 21:14
  • 签到天数: 757 天

    [LV.10]以坛为家III

    7335

    主题

    8751

    帖子

    131万

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    1312455
    楼主
    发表于 2020-6-20 15:23:58 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
    腾讯大牛教你web前后端漏洞分析与防御   慕课网

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。

    大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根源。
    常见的xss攻击方法
    1.绕过XSS-Filter,利用<>标签注入Html/JavaScript代码;

    2.利用HTML标签的属性值进行xss攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的Web浏览器都支持Javascript伪协议,所以此类XSS攻击具有一定的局限性)

    3. 空格、回车和Tab。如果XSS Filter仅仅将敏感的输入字符列入黑名单,比如javascript,用户可以利用空格、回车和Tab键来绕过过滤,例如:<img src=“javas  cript:alert(/xss/);”/>;

    4. 利用事件来执行跨站脚本。例如:<img src=“#” onerror= “alert(1)”/>,当src错误的视乎就会执行onerror事件;

    5. 利用CSS跨站。例如:Body {backgrund-image: url(“javascript:alert(‘xss’)”)};

    6. 扰乱过滤规则。例如:<IMG SRC=“javaSCript: alert(/xss/);”/>;

    7.利用字符编码,透过这种技巧,不仅能让XSS代码绕过服务端的过滤,还能更好地隐藏Shellcode;(JS支持unicode、eacapes、十六进制、十进制等编码形式)

    8.拆分跨站法,将xss攻击的代码拆分开来,适用于应用程序没有过滤 XSS关键字符(如<、>)却对输入字符长度有限制的情况下;

    9.DOM型的XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上,它不依赖于提交数据到服务器,而是从客户端获得DOM中的数据在本地执行。
    容易导致DOM型的XSS的输入源包括:Document.URL、Location(.pathname|.href|.search|.hash)、
    Document.referrer、Window.name、Document.cookie、localStorage/globalStorage;
    游客,如果您要查看本帖隐藏内容请回复

    收藏
    收藏0
    分享
    分享
    支持
    支持0
    反对
    反对0
    回复

    使用道具 举报

  • TA的每日心情

    2023-12-19 15:00
  • 签到天数: 12 天

    [LV.3]偶尔看看II

    1

    主题

    32

    帖子

    2468

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    2468
    38#
    发表于 2023-12-19 15:00:26 | 只看该作者
    犯得上发射点
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    难过
    2022-6-26 17:55
  • 签到天数: 19 天

    [LV.4]偶尔看看III

    1

    主题

    82

    帖子

    2846

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    2846
    37#
    发表于 2022-6-26 19:02:32 | 只看该作者
    RE: 腾讯大牛教你web前后端漏洞分析与防御 慕课网 [修改]
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2024-8-1 11:48
  • 签到天数: 143 天

    [LV.7]常住居民III

    4

    主题

    364

    帖子

    6618

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    6618
    36#
    发表于 2022-4-30 09:53:21 | 只看该作者
    腾讯大牛教你web前后端漏洞分析与防御
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2023-10-13 00:14
  • 签到天数: 178 天

    [LV.7]常住居民III

    4

    主题

    688

    帖子

    1866

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    1866
    35#
    发表于 2022-4-22 02:55:58 | 只看该作者
    Web前后端漏洞分析与防御
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2024-11-19 22:29
  • 签到天数: 323 天

    [LV.8]以坛为家I

    2

    主题

    462

    帖子

    1万

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    13292
    34#
    发表于 2021-8-2 10:14:21 | 只看该作者
    阿斯顿发斯蒂芬啊啊
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-11-3 15:23
  • 签到天数: 56 天

    [LV.5]常住居民I

    2

    主题

    122

    帖子

    3749

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    3749
    33#
    发表于 2021-7-7 13:38:11 | 只看该作者
    腾讯大牛教你web前后端漏洞分析与防御
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2023-10-19 19:38
  • 签到天数: 74 天

    [LV.6]常住居民II

    5

    主题

    153

    帖子

    1065

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    1065
    32#
    发表于 2021-6-20 21:27:59 | 只看该作者
    感谢楼主分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    难过
    2023-10-18 00:42
  • 签到天数: 21 天

    [LV.4]偶尔看看III

    1

    主题

    57

    帖子

    491

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    491
    31#
    发表于 2021-6-15 16:04:28 | 只看该作者
    123123123123123123
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2023-3-11 23:14
  • 签到天数: 184 天

    [LV.7]常住居民III

    16

    主题

    504

    帖子

    7698

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    7698
    30#
    发表于 2021-6-14 05:29:08 | 只看该作者
    感谢分享
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    学习课程!一站搞定!
    学途无忧VIP会员群

    973849140

    周一至周日9:00-23:00

    反馈建议

    1227072433@qq.com 在线QQ咨询

    扫描二维码关注我们

    学途无忧!为学习谋坦途,为会员谋福利!|网站地图