xss發(fā)生原理
xss就是跨站腳本攻擊,造成這種漏洞存在的根本原因是開發(fā)者的安全意識不夠而留下的漏洞,使得用戶可以直接在頁面提交代碼,并且執(zhí)行,從而獲取到用戶權(quán)限,cookie等危害,xss攻擊一般危害的是網(wǎng)站的用戶,而不是網(wǎng)站,xss的危害性在所有web漏洞威脅性排名第二,僅次于sql注入,68%的網(wǎng)站可能存在xss攻擊。
xss威力有多大?
1、利用iframe、frame欺騙用戶進行操作,甚至能導致網(wǎng)銀被盜。
2、訪問頁面大的xss漏洞,可以用特殊的代碼,讓用戶幫助你ddos攻擊其他網(wǎng)站。
3、盜取cookie,從而登錄其他用戶賬號,導致賬號泄露。
XSS攻擊的類型
從攻擊代碼的工作方式可以分為三個類型:
(1)持久型跨站:最直接的危害類型,跨站代碼存儲在服務器(數(shù)據(jù)庫)。
(2)非持久型跨站:反射型跨站腳本漏洞,最普遍的類型。用戶訪問服務器-跨站鏈接-返回跨站代碼。
(3)DOM跨站(DOM XSS):DOM(document object model文檔對象模型),客戶端腳本處理邏輯導致的安全問題。
整合自:小風教程網(wǎng)、百度百科
編輯:jq
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
相關(guān)推薦
?隨著互聯(lián)網(wǎng)的普及和Web應用的廣泛使用,跨站腳本攻擊(XSS)成為了網(wǎng)絡(luò)安全領(lǐng)域中的一個重要威脅。在XSS攻擊中,攻擊者常常會巧妙地利用各
發(fā)表于 08-07 16:43
?132次閱讀
DDoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。單一的DoS攻擊一般是采用一對一方式的,當攻擊目標CPU速度
發(fā)表于 06-14 15:07
?267次閱讀
通過大量的惡意流量使網(wǎng)站服務不可用。高防CDN通過以下方式幫助緩解這種攻擊: 分散攻擊流量 :CDN通過全球分布的服務器來分散進入的流量。當攻擊發(fā)生時,流量被分散到多個服務器,而不是單一的源點,從而減少對單一服務器的壓力。 流量
發(fā)表于 06-07 14:29
?232次閱讀
其中,高風險漏洞為CVE-2024-4835,主要存放在VS代碼編輯器(Web IDE)中的,攻擊者可通過此漏洞進行跨站點腳本(XSS)攻擊,從而獲取對用戶賬戶的完全控制權(quán)。
發(fā)表于 05-24 17:00
?777次閱讀
信號發(fā)生器,作為電子測量和測試領(lǐng)域的重要設(shè)備,其在電子技術(shù)的發(fā)展和應用中扮演著至關(guān)重要的角色。從簡單的模擬信號產(chǎn)生到復雜的數(shù)字信號調(diào)制,信號發(fā)生器都發(fā)揮著不可替代的作用。本文將深入探討信號發(fā)生器的作用、原理、
發(fā)表于 05-14 16:00
?565次閱讀
反射型是將腳本代碼放在URL中,當用戶點擊URL,該請求就會通過服務器解析返回給瀏覽器,在返回的響應內(nèi)容中出現(xiàn)攻擊者的XSS代碼,瀏覽器執(zhí)行時就會中招了。
發(fā)表于 03-28 10:57
?444次閱讀
網(wǎng)絡(luò)控制系統(tǒng)可能會受到不同類型的網(wǎng)絡(luò)攻擊威脅[10-12],主要包括拒絕服務(denial of service, DoS)攻擊[7]、欺騙攻擊[8]、干擾
發(fā)表于 03-01 11:00
?405次閱讀
DDOS攻擊指分布式拒絕服務攻擊,即處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊,或者一個攻擊者控制了位于不同位置的多臺機器并利用這
發(fā)表于 01-12 16:17
?471次閱讀
攻擊者向飛機飛行管理系統(tǒng)發(fā)送虛假“全球定位系統(tǒng)”信號,而飛機無法辨別真?zhèn)?,導致飛機導航系統(tǒng)出現(xiàn)偏差,飛機偏離航線。如果飛機因此未經(jīng)許可進入他國領(lǐng)空或禁飛空域,將構(gòu)成較大安全風險。
發(fā)表于 01-05 11:23
?344次閱讀
在當今數(shù)字化時代,隨著網(wǎng)絡(luò)應用的快速發(fā)展,網(wǎng)絡(luò)安全問題變得日益突出,網(wǎng)絡(luò)攻擊手段也日益猖獗。在眾多網(wǎng)絡(luò)安全攻擊手段中,CSRF(跨站請求偽造)攻擊是一種被廣泛認為具有潛在危害且常見的攻擊
發(fā)表于 01-02 10:12
?2213次閱讀
XSS作為OWASP TOP 10之一。
發(fā)表于 12-20 09:49
?1167次閱讀
的安全。在本文中,我將詳細介紹IE瀏覽器限制運行腳本的各個方面和原因。 首先,IE瀏覽器限制運行腳本的一個主要原因是為了防止跨站腳本攻擊(Cross-Site Scripting,XSS)。XSS
發(fā)表于 11-26 11:19
?1288次閱讀
是什么? Web應用防火墻(Web Application Firewall, WAF)是一種專為保護Web應用設(shè)計的防火墻。它位于Web應用和Internet之間,能夠監(jiān)控、過濾并阻止HTTP流量中的惡意攻擊,如
發(fā)表于 10-10 14:47
?599次閱讀
跨站腳本攻擊(XSS),是最普遍的Web應用安全漏洞。這類漏洞能夠使得攻擊者嵌入惡意腳本代碼到正常用戶會訪問到的頁面中,當正常用戶訪問該頁面時,則可導致嵌入的惡意腳本代碼的執(zhí)行,從而達到惡意攻
發(fā)表于 09-30 10:05
?1470次閱讀
該模塊的全掃描、SQL注入漏洞掃描、XSS漏洞掃描、弱口令掃描、僅爬取是調(diào)用 AWVS API 進行實現(xiàn)。中間件漏洞掃描是基于腳本模擬網(wǎng)絡(luò)請求實現(xiàn)。根據(jù)漏洞形成的原因,生成一些測試 payload 發(fā)送到目標系統(tǒng),再由返回的狀態(tài)碼和數(shù)據(jù)來判斷payload是否有效。
發(fā)表于 09-22 16:11
?631次閱讀
評論