護(hù)欄板銷售網(wǎng)站怎么做百度競價(jià)可以自學(xué)嗎
一、xss攻擊簡介
- 1、OWASP TOP 10之一,XSS被稱為跨站腳本攻擊(Cross-site-scripting)
- 2、主要基于java script(JS)完成惡意攻擊行為。JS可以非常靈活的操作html、css和瀏覽器,這使得XSS攻擊的“想象”空間特別大。
- 3、XSS通過將精心構(gòu)造代碼(JS)代碼注入到網(wǎng)頁中,并由瀏覽器解釋運(yùn)行這段JS代碼,以達(dá)到惡意攻擊的效果。當(dāng)用戶訪問被XSS腳本注入的網(wǎng)頁,XSS腳本就會(huì)被提取出來。用戶瀏覽器就會(huì)解析這段XSS代碼,也就是說用戶被攻擊了。
- 4、微博、留言板、聊天室等等收集用戶輸入的地方,都有可能被注入XSS代碼,都存在遭受XSS的風(fēng)險(xiǎn),只要沒有對用戶的輸入進(jìn)行嚴(yán)格過濾,就會(huì)被XSS
二、xss攻擊危害
- 1、盜取各類用戶帳號,如機(jī)器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號
- 2、控制企業(yè)數(shù)據(jù),包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力
- 3、盜竊企業(yè)重要的具有商業(yè)價(jià)值的資料
- 4、非法轉(zhuǎn)賬
- 5、強(qiáng)制發(fā)送電子郵件
- 6、網(wǎng)站掛馬 讓更多人的受害
- 7、控制受害者機(jī)器向其它網(wǎng)站發(fā)起攻擊 賣肉機(jī)
- 8、蠕蟲式的DDoS攻擊。
三、xss的原理
- 攻擊者對含有漏洞的服務(wù)器發(fā)起XSS攻擊(注入JS代碼)。
- 誘使受害者打開受到攻擊的服務(wù)器URL。
- 受害者在Web瀏覽器中打開URL,惡意腳本執(zhí)行。
四、XSS攻擊的分類
- 1、反射型
非持久性跨站點(diǎn)腳本攻擊
攻擊是一次性的,僅對當(dāng)次的頁面訪問產(chǎn)生影響存儲型
- 2、持久型跨站點(diǎn)腳本
攻擊者的數(shù)據(jù)存儲在服務(wù)器端,攻擊行為將伴隨著攻擊數(shù)據(jù)一直存在
- 3、DOM型
既可能是反射型的,也有可能是存儲型的。
基于文檔對象模型(Document Objeet Model,DOM)的一種漏洞
五、構(gòu)造xss攻擊腳本
1、常用的html標(biāo)簽
- <iframe>iframe標(biāo)簽會(huì)創(chuàng)建包含另外一個(gè)文檔的內(nèi)聯(lián)框架
????????????????<iframe οnlοad=alert(1)></iframe>
- <details> 標(biāo)簽通過提供用戶開啟關(guān)閉的交互式控件,規(guī)定了用戶可見的或者隱藏的需求的補(bǔ)充細(xì)節(jié)。ontoggle 事件規(guī)定了在用戶打開或關(guān)閉 <details> 元素時(shí)觸發(fā):
????????????????<details οntοggle=alert(1)>
- <textarea> textarea標(biāo)簽定義多行的文本輸入控件
????????????????<textarea οnfοcus=alert(1) autofocus>
- <img>img標(biāo)簽向網(wǎng)頁中嵌入一幅圖像
????????????????<img src=1 οnerrοr=alert(1)>
????????????????<img src=1 οnerrοr=alert("xss")>
- <svg> 標(biāo)簽用來在HTML頁面中直接嵌入SVG 文件的代碼。
????????????????<svg οnlοad=alert(1)>
- <script> script標(biāo)簽用于定義客戶端腳本,比如JavaScriptscript
????????????????<script>alert(1)</script>
????????????????<script>alert("xss")</script>
- script標(biāo)簽既可以包含腳本語句,也可以通過src屬性指向外部腳本文件
- 必需的type屬性規(guī)定腳本的類型。
- JavaScript的常見應(yīng)用是圖像操作、表單驗(yàn)證以及動(dòng)態(tài)內(nèi)容更新。
2、常用的is腳本
- alert :alert方法用于顯示帶有一條指定消息和一個(gè)確認(rèn)按鈕的警告框
- YRS,并筢別覽器量定尚劉新的資魯用于獲得當(dāng)前頁面的地址
- location.href:返回當(dāng)前顯示的文檔的完整URL
- onload:-張頁面或一幅圖像完成加載
- onsubmit:一個(gè)按鈕被點(diǎn)擊
- onerror:在加載文檔或圖像時(shí)發(fā)生錯(cuò)誤
六、構(gòu)造腳本的方式
- 彈窗警告
- 頁面嵌套
- 頁面重定向。
- 彈窗警告并重定向
- 圖片標(biāo)簽利用
- 繞開過濾的腳本
- 存儲型xss基本演示
- 訪問惡意代碼(網(wǎng)站種馬)