靶场科普 | XSS靶场之过滤XSS

admin 2022年6月17日19:07:26安全文章评论7 views1203字阅读4分0秒阅读模式
靶场科普 | XSS靶场之过滤XSS
靶场科普 | XSS靶场之过滤XSS
点击上方蓝字关注,更多惊喜等着你
靶场科普 | XSS靶场之过滤XSS
靶场科普 | XSS靶场之过滤XSS


本文由“东塔网络安全学院”总结归纳


靶场科普 | XSS靶场之过滤XSS
靶场介绍
XSS靶场之过滤XSS


靶场科普 | XSS靶场之过滤XSS

今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:XSS靶场之过滤XSS”。

一、实验介绍

1.原理

XSS又叫CSS,跨站脚本攻击,它是指攻击者利用网页开发时留下的漏洞,恶意攻击者往web页面插入恶意Script代码,当用户浏览该网页之时,嵌入其中的Web里面的script代码会被执行,从而达到恶意的特殊目的。

2.XSS危害

1)窃取管理员帐号或Cookie,入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。

2)窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。

3)网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。4)发送广告或者垃圾信息。攻击者可以利用XSS漏洞植入广告,或者发送垃圾信息,严重影响到用户的正常使用。

3.XSS是如何产生的

通过在用户端注入恶意的可执行脚本,若服务器对用户的输入不进行处理或处理不严,则浏览器就会直接执行用户注入的脚本。

4.XSS常见出现漏洞的地方有数据交互的位置、数据输出的地方等。

5.常见注入点

网站的搜索栏、用户登录入口、输入表单等地方,常用来窃取客户端cookies或钓鱼欺骗。

靶场科普 | XSS靶场之过滤XSS


二、实验目的

1. 深入理解跨站脚本攻击概念;

2. 掌握xss原理;

3. 掌握对跨站脚本的绕过方式。


三、实验步骤

1. 打开实验地址,查看实验环境,根据实验要求进行相应的操作;

2. 在时间内完成xss绕过操作,并做好总结,思考其他绕过xss攻击的方式。


四、防御方式

1.使用XSS Filter;

1)输入过滤;

2)输入验证,如字符的合法性、字符串的长度限制等。


2.输出编码

对输出的数据进行编码,如HTML编码,就是让可能造成危害的信息变成无害;

3.白名单和黑名单;
4.定制过滤策略;
5.web安全编码规范;
6. HttpOnly Cookie;

当Cookie在消息头中被设置为HttpOnly时,这样支持Cookie的浏览器将阻止客户端Javascript直接访问浏览器中的cookies,从而达到保护敏感数据的作用。
7. 使用WAF,比如软WAF,硬WAF、云WAF等。

速度登录https://labs.do-ta.com/ GET起来

现在注册,立得50积分哟 ✌


东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~


微博、腾讯课堂、知乎、今日头条、学浪:

东塔网络安全学院

抖音1号:东塔网络安全培训

抖音2号:东塔网络安全教育

哔哩哔哩:东塔网络安全

了解更多活动和咨询欢迎微信添加:dongtakefu




靶场科普 | XSS靶场之过滤XSS

-免费获取学习资料

电子书籍、试听课程-




靶场科普 | XSS靶场之过滤XSS

靶场科普 | XSS靶场之过滤XSS
靶场科普 | XSS靶场之过滤XSS
点击蓝字
分享我们

原文始发于微信公众号(东塔网络安全学院):靶场科普 | XSS靶场之过滤XSS

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月17日19:07:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  靶场科普 | XSS靶场之过滤XSS http://cn-sec.com/archives/1121803.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: