百度网盘怎么做网站,南京做网站设计,腾讯云做网站步骤,广州制作外贸网站公司简介一、xss攻击简介 1、OWASP TOP 10之一,XSS被称为跨站脚本攻击(Cross-site-scripting)2、主要基于java script(JS)完成恶意攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的“想象”空间特别大。3、XSS通过将精心构造代码(JS)代码注入到网页中#xff0c;并由… 一、xss攻击简介 1、OWASP TOP 10之一,XSS被称为跨站脚本攻击(Cross-site-scripting)2、主要基于java script(JS)完成恶意攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的“想象”空间特别大。3、XSS通过将精心构造代码(JS)代码注入到网页中并由浏览器解释运行这段JS代码以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码也就是说用户被攻击了。4、微博、留言板、聊天室等等收集用户输入的地方都有可能被注入XSS代码都存在遭受XSS的风险只要没有对用户的输入进行严格过滤就会被XSS 二、xss攻击危害 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力3、盗窃企业重要的具有商业价值的资料4、非法转账5、强制发送电子邮件6、网站挂马 让更多人的受害7、控制受害者机器向其它网站发起攻击 卖肉机8、蠕虫式的DDoS攻击。 三、xss的原理 攻击者对含有漏洞的服务器发起XSS攻击注入JS代码。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL恶意脚本执行。 四、XSS攻击的分类 1、反射型 非持久性跨站点脚本攻击 攻击是一次性的仅对当次的页面访问产生影响存储型 2、持久型跨站点脚本 攻击者的数据存储在服务器端攻击行为将伴随着攻击数据一直存在 3、DOM型 既可能是反射型的也有可能是存储型的。 基于文档对象模型(Document Objeet Model,DOM)的一种漏洞 五、构造xss攻击脚本 1、常用的html标签 iframeiframe标签会创建包含另外一个文档的内联框架 iframe οnlοadalert(1)/iframe details 标签通过提供用户开启关闭的交互式控件规定了用户可见的或者隐藏的需求的补充细节。ontoggle 事件规定了在用户打开或关闭 details 元素时触发 details οntοgglealert(1) textarea textarea标签定义多行的文本输入控件 textarea οnfοcusalert(1) autofocus imgimg标签向网页中嵌入一幅图像 img src1 οnerrοralert(1) img src1 οnerrοralert(xss) svg 标签用来在HTML页面中直接嵌入SVG 文件的代码。 svg οnlοadalert(1) script script标签用于定义客户端脚本,比如JavaScriptscript scriptalert(1)/script scriptalert(xss)/script script标签既可以包含脚本语句,也可以通过src属性指向外部脚本文件 必需的type属性规定脚本的类型。JavaScript的常见应用是图像操作、表单验证以及动态内容更新。 2、常用的is脚本 alert :alert方法用于显示带有一条指定消息和一个确认按钮的警告框YRS,并筢别览器量定尚劉新的资鲁用于获得当前页面的地址location.href:返回当前显示的文档的完整URLonload:-张页面或一幅图像完成加载onsubmit:一个按钮被点击onerror:在加载文档或图像时发生错误 六、构造脚本的方式 弹窗警告页面嵌套页面重定向。弹窗警告并重定向图片标签利用绕开过滤的脚本存储型xss基本演示访问恶意代码(网站种马)
