联系客服1
联系客服2

腾讯大牛教你web前后端漏洞分析与防御 慕课网

37
回复
4810
查看
打印 上一主题 下一主题
[复制链接]
  • TA的每日心情
    开心
    2024-9-19 21:14
  • 签到天数: 757 天

    [LV.10]以坛为家III

    7335

    主题

    8751

    帖子

    131万

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    1312457
    楼主
    发表于 2020-6-20 15:23:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    腾讯大牛教你web前后端漏洞分析与防御   慕课网

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。

    大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根源。
    常见的xss攻击方法
    1.绕过XSS-Filter,利用<>标签注入Html/JavaScript代码;

    2.利用HTML标签的属性值进行xss攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的Web浏览器都支持Javascript伪协议,所以此类XSS攻击具有一定的局限性)

    3. 空格、回车和Tab。如果XSS Filter仅仅将敏感的输入字符列入黑名单,比如javascript,用户可以利用空格、回车和Tab键来绕过过滤,例如:<img src=“javas  cript:alert(/xss/);”/>;

    4. 利用事件来执行跨站脚本。例如:<img src=“#” onerror= “alert(1)”/>,当src错误的视乎就会执行onerror事件;

    5. 利用CSS跨站。例如:Body {backgrund-image: url(“javascript:alert(‘xss’)”)};

    6. 扰乱过滤规则。例如:<IMG SRC=“javaSCript: alert(/xss/);”/>;

    7.利用字符编码,透过这种技巧,不仅能让XSS代码绕过服务端的过滤,还能更好地隐藏Shellcode;(JS支持unicode、eacapes、十六进制、十进制等编码形式)

    8.拆分跨站法,将xss攻击的代码拆分开来,适用于应用程序没有过滤 XSS关键字符(如<、>)却对输入字符长度有限制的情况下;

    9.DOM型的XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上,它不依赖于提交数据到服务器,而是从客户端获得DOM中的数据在本地执行。
    容易导致DOM型的XSS的输入源包括:Document.URL、Location(.pathname|.href|.search|.hash)、
    Document.referrer、Window.name、Document.cookie、localStorage/globalStorage;
    游客,如果您要查看本帖隐藏内容请回复

    收藏
    收藏0
    分享
    分享
    支持
    支持0
    反对
    反对0
    回复

    使用道具 举报

  • TA的每日心情
    难过
    2024-3-16 11:01
  • 签到天数: 158 天

    [LV.7]常住居民III

    7

    主题

    226

    帖子

    6383

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    6383
    沙发
    发表于 2020-6-20 16:23:59 | 只看该作者
    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2021-3-4 23:54
  • 签到天数: 46 天

    [LV.5]常住居民I

    0

    主题

    149

    帖子

    3396

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    3396
    板凳
    发表于 2020-6-20 18:03:45 | 只看该作者
    11111111111111111111
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-11-19 16:45
  • 签到天数: 65 天

    [LV.6]常住居民II

    4

    主题

    137

    帖子

    1853

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    1853
    地板
    发表于 2020-6-20 18:06:39 | 只看该作者
    122222222222222222
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2021-3-10 11:13
  • 签到天数: 106 天

    [LV.6]常住居民II

    1

    主题

    346

    帖子

    3885

    积分

    年费会员

    Rank: 4

    积分
    3885
    5#
    发表于 2020-6-20 20:03:00 | 只看该作者
    十分士大夫撒地方
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2023-3-22 11:39
  • 签到天数: 112 天

    [LV.6]常住居民II

    4

    主题

    196

    帖子

    5279

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    5279
    6#
    发表于 2020-6-21 18:05:03 | 只看该作者
    腾讯大牛教你web前后端漏洞分析与防御 慕课网 [修改]
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2021-1-29 16:45
  • 签到天数: 45 天

    [LV.5]常住居民I

    3

    主题

    119

    帖子

    3495

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    3495
    7#
    发表于 2020-6-22 09:31:44 | 只看该作者
    dfffffffffffffffff
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2022-2-20 11:08
  • 签到天数: 49 天

    [LV.5]常住居民I

    2

    主题

    113

    帖子

    1840

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    1840
    8#
    发表于 2020-6-22 09:47:38 | 只看该作者
    666666666666666
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2022-11-5 20:29
  • 签到天数: 121 天

    [LV.7]常住居民III

    0

    主题

    197

    帖子

    5594

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    5594
    9#
    发表于 2020-6-22 10:04:32 | 只看该作者
    9999999999999999999
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-9-4 10:01
  • 签到天数: 153 天

    [LV.7]常住居民III

    2

    主题

    252

    帖子

    6404

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    6404
    10#
    发表于 2020-6-22 14:19:08 | 只看该作者
    66666666666666666666
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    学习课程!一站搞定!
    学途无忧VIP会员群

    973849140

    周一至周日9:00-23:00

    反馈建议

    1227072433@qq.com 在线QQ咨询

    扫描二维码关注我们

    学途无忧!为学习谋坦途,为会员谋福利!|网站地图