知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

admin 2023年12月8日13:33:45评论12 views字数 1134阅读3分46秒阅读模式

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

随着互联网的快速普及,越来越多的敏感信息被存储在网络上,例如个人身份信息、财务信息等。在当前数字化时代,这些安全问题变得更加突出。作为开发者,必须采取适当的防范措施,以确保用户数据的安全性。今天,小编将着重探讨跨站脚本攻击(Cross-site scripting,XSS)这一常见的网络攻击方式,以帮助大家更好地预防此类安全风险。


XSS攻击的本质是利用Web应用程序中的漏洞,向网页注入恶意脚本代码,然后将这些代码嵌入到网页中,当其他用户访问这个网页时,恶意脚本将会被执行。

攻击者通常会在Web应用程序的输入框、评论框、搜索框等可输入内容的地方输入特定的脚本代码,这些代码可以被Web应用程序直接插入到网页中,导致网页上的所有用户都会受到攻击。


知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

举一个简单的例子,就是留言板

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)
知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

我们知道留言板通常的任务就是把用户留言的内容展示出来。正常情况下,用户的留言都是正常的语言文字,留言板显示的内容也就没毛病。然而这个时候如果有人不按套路出牌,在留言内容中丢进去一行。

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

那么留言板界面的网页代码就会变成形如以下:

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)


那么这个时候问题就来了,当浏览器解析到用户输入的代码那一行时会发生什么呢?答案很显然,浏览器并不知道这些代码改变了原本程序的意图,会照做弹出一个信息框。就像这样:

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

其实归根结底,XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码。


XSS攻击类型:存储型 、反射型 、DOM型


知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)


知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)


01

存储型XSS:

存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie。


02

反射型XSS:

非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。反射型XSS大多数是用来盗取用户的Cookie信息。


03

DOM型XSS:

不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS。




知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

关于以上不同类型XSS的攻击过程与攻击测试相关介绍由于文章篇幅的限制,小编为大家准备了课程资料包,对XSS脚本攻击感兴趣可以:


知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)
知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

联系班班领取学习哦

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)
知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)


知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

长按识别|报名咨询

班班老师|13401663881

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

END

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

推荐阅读

网络安全:今年已14起!阿里、滴滴等多个平台系统崩溃

12-07 特稿

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

信息安全:知白微课堂 第五讲风险评估中的“亡羊补牢”

12-01 特稿

知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)
知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

原文始发于微信公众号(启明星辰网络空间安全教育):知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月8日13:33:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   知白微课堂 第六讲丨Web漏洞之XSS(跨站脚本攻击)http://cn-sec.com/archives/2279557.html

发表评论

匿名网友 填写信息