天涯论坛

 找回密码
 立即注册
搜索
查看: 84|回复: 4

跨站脚本攻击,附相关学习资源!手把手入门白帽子 (三)

[复制链接]

3048

主题

3万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109039
发表于 2024-7-12 14:51:16 | 显示全部楼层 |阅读模式

照片源于网络,侵删)

PS:手把手入门白帽子系列,全学完便是一个合格的web安全工程师了!

1

什么是XSS?

关于XSS(跨站脚本攻击)详情,能够查看:科普一种猥琐的黑客攻击方式,附攻防指南。下面咱们简单介绍一下:

概念:指黑客经过“HTML注入”篡改网页,插进了恶意的脚本,从而在用户浏览网页时,实现掌控用户浏览器行径的一种攻击方式。

害处:盗取用户信息、篡改页面钓鱼、制造蠕虫等。

XSS归类:存储型、反射型、DOM型等

2

反射型XSS

反射型XSS只是简单地把用户输入的数据“反射”给浏览器。便是说,黑客常常必须运用户“点击”一个恶意链接,才可攻击成功.

如下,查找name信息,正常用户请求:

倘若那name参数1修改成<script>alert("I am XSS")</script>,则表示结果:

3

存储型XSS

如下,正常留言评论,表示如下:

倘若将message信息写成<script>alert(11)</script>,则表示

4

DOM XSS

基于DOM型的XSS是不必须与服务器端交互的,它只发生在客户端处理数据周期

下面一段经典的DOM型XSS示例。

以上代码的意思是获取URL中content参数的值,并且输出,倘若输入

http://www.xxx.com/dom.html?content=<script>alert(/xss/)</script>,就会产生XSS漏洞。

各样类型原理分析

下篇预告:CSRF攻击与防御

举荐阅读

6个月当上web安全工程师 | 手把手入门白帽子(一)

黑客常说SQL注入是什么?手把手入门白帽子 (二)

SQL注入攻击方式及防御办法,手把手入门白帽子 (二)





上一篇:白帽子分享之代码审计的艺术系列—第五季
下一篇:读书笔记--《白帽子讲WEB安全》
回复

使用道具 举报

1

主题

676

回帖

3

积分

新手上路

Rank: 1

积分
3
发表于 2024-9-1 07:46:08 | 显示全部楼层
“沙发”(SF,第一个回帖的人)‌
回复

使用道具 举报

0

主题

992

回帖

1

积分

新手上路

Rank: 1

积分
1
发表于 2024-9-8 04:47:21 | 显示全部楼层
哈哈、笑死我了、太搞笑了吧等。
回复

使用道具 举报

22

主题

876

回帖

898

积分

高级会员

Rank: 4

积分
898
发表于 2024-9-25 10:27:55 | 显示全部楼层
期待与你深入交流,共探知识的无穷魅力。
回复

使用道具 举报

2996

主题

3万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109194
发表于 2024-11-9 10:26:26 | 显示全部楼层
感谢您的精彩评论,为我带来了新的思考角度。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-23 06:05 , Processed in 0.128828 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.