学途无忧

标题: 腾讯大牛教你web前后端漏洞分析与防御慕课网 [打印本页]

作者: admin 时间: 2020-6-20 15:23
标题: 腾讯大牛教你web前后端漏洞分析与防御慕课网
腾讯大牛教你web前后端漏洞分析与防御慕课网

xss跨站脚本攻击(Cross Site Scripting)，是一种经常出现在web应用中的计算机安全漏洞，指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。比如获取用户的Cookie，导航到恶意网站,携带木马等。

大部分的xss漏洞都是由于没有处理好用户的输入，导致攻击脚本在浏览器中执行，这就是跨站脚本漏洞的根源。

常见的xss攻击方法

1.绕过XSS-Filter，利用<>标签注入Html/JavaScript代码；

2.利用HTML标签的属性值进行xss攻击。例如：<img src=“javascript:alert(‘xss’)”/>；（当然并不是所有的Web浏览器都支持Javascript伪协议，所以此类XSS攻击具有一定的局限性）

3. 空格、回车和Tab。如果XSS Filter仅仅将敏感的输入字符列入黑名单，比如javascript，用户可以利用空格、回车和Tab键来绕过过滤，例如：<img src=“javas cript:alert(/xss/);”/>；

4. 利用事件来执行跨站脚本。例如：<img src=“#” onerror= “alert(1)”/>，当src错误的视乎就会执行onerror事件；

5. 利用CSS跨站。例如：Body {backgrund-image: url(“javascript:alert(‘xss’)”)}；

6. 扰乱过滤规则。例如：<IMG SRC=“javaSCript: alert(/xss/);”/>；

7.利用字符编码，透过这种技巧，不仅能让XSS代码绕过服务端的过滤，还能更好地隐藏Shellcode；（JS支持unicode、eacapes、十六进制、十进制等编码形式）

8.拆分跨站法，将xss攻击的代码拆分开来，适用于应用程序没有过滤 XSS关键字符（如<、>）却对输入字符长度有限制的情况下；

9.DOM型的XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上，它不依赖于提交数据到服务器，而是从客户端获得DOM中的数据在本地执行。

容易导致DOM型的XSS的输入源包括：Document.URL、Location(.pathname|.href|.search|.hash)、

Document.referrer、Window.name、Document.cookie、localStorage/globalStorage；

作者: ahhh 时间: 2020-6-20 16:23

作者: robertal 时间: 2020-6-20 18:03
11111111111111111111

作者: xiao 时间: 2020-6-20 18:06
122222222222222222

作者: Superset 时间: 2020-6-20 20:03
十分士大夫撒地方

作者: g751634557 时间: 2020-6-21 18:05
腾讯大牛教你web前后端漏洞分析与防御慕课网 [修改]

作者: ljh19138 时间: 2020-6-22 09:31
dfffffffffffffffff

作者: jiangtao1027 时间: 2020-6-22 09:47
666666666666666

作者: sgy 时间: 2020-6-22 10:04
9999999999999999999

作者: network 时间: 2020-6-22 14:19
66666666666666666666

作者: readm 时间: 2020-6-23 02:08
545645646545646546546546465

作者: szy0syz 时间: 2020-6-23 09:04
非常感谢。。。。。。

作者: qq2237278668 时间: 2020-6-23 09:43

作者: beiluoshimen12 时间: 2020-6-23 09:52
6666666666666666

作者: rooffy 时间: 2020-6-23 21:40
腾讯大牛教你web前后端漏洞分析与防御慕课网

作者: 15207148740 时间: 2020-6-24 09:25
腾讯大牛教你web前后端漏洞分析与防御

作者: 沱长 时间: 2020-6-25 08:11
腾讯大牛教你web前后端漏洞分析与防御

作者: Mrhoney 时间: 2020-8-20 17:32
谢谢大神分享

作者: appin 时间: 2020-10-4 10:46
Web前后端漏洞分析与防御Web前后端漏洞分析与防御

作者: 一年之后 时间: 2020-10-4 14:57
来执行跨站脚本。例如：<img src=“#” onerror= “alert(1)”/>，当src

作者: mcqnby 时间: 2020-10-14 15:23
腾讯大牛教你web前后端漏洞分析与防御慕课网 [修改]

作者: pengyang317 时间: 2020-11-2 09:34
腾讯大牛教你web前后端漏洞分析与防御慕课网 [修改]

作者: lizhen5117 时间: 2020-11-11 15:04
999999999999999

作者: 你好丶明天 时间: 2020-12-17 14:46
111111111111111111111111

作者: gongzhudewangzi 时间: 2020-12-20 19:27
辅导辅导费地方地方

作者: Un4ever 时间: 2020-12-21 11:59
好人一生平阿安

作者: uvuv 时间: 2021-6-11 13:13
；就开了绿绿绿绿绿绿绿绿绿绿绿

作者: huanghao2693 时间: 2021-6-12 09:35
感谢分享

作者: lijm1206 时间: 2021-6-14 05:29
感谢分享

作者: development 时间: 2021-6-15 16:04
123123123123123123

作者: KilSl 时间: 2021-6-20 21:27
感谢楼主分享

作者: 盖世英雄 时间: 2021-7-7 13:38
腾讯大牛教你web前后端漏洞分析与防御

作者: 鹅卵石 时间: 2021-8-2 10:14
阿斯顿发斯蒂芬啊啊

作者: shijinke1990 时间: 2022-4-22 02:55
Web前后端漏洞分析与防御

作者: dingf2099 时间: 2022-4-30 09:53
腾讯大牛教你web前后端漏洞分析与防御

作者: ruby_tian 时间: 2022-6-26 19:02
RE: 腾讯大牛教你web前后端漏洞分析与防御慕课网 [修改]

作者: ifer 时间: 2023-12-19 15:00
犯得上发射点

欢迎光临学途无忧 (https://www.xuetu123.com/)