请选择 进入手机版 | 继续访问电脑版

腾讯大牛教你web前后端漏洞分析与防御 慕课网

18
回复
86
查看
[复制链接]
  • TA的每日心情
    奋斗
    2020-8-28 14:55
  • 签到天数: 279 天

    [LV.8]以坛为家I

    4586

    主题

    5556

    帖子

    74万

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    749802
    发表于 2020-6-20 15:23:58 | 显示全部楼层 |阅读模式
    腾讯大牛教你web前后端漏洞分析与防御   慕课网

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。

    大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根源。
    常见的xss攻击方法
    1.绕过XSS-Filter,利用<>标签注入Html/JavaScript代码;

    2.利用HTML标签的属性值进行xss攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的Web浏览器都支持Javascript伪协议,所以此类XSS攻击具有一定的局限性)

    3. 空格、回车和Tab。如果XSS Filter仅仅将敏感的输入字符列入黑名单,比如javascript,用户可以利用空格、回车和Tab键来绕过过滤,例如:<img src=“javas  cript:alert(/xss/);”/>;

    4. 利用事件来执行跨站脚本。例如:<img src=“#” onerror= “alert(1)”/>,当src错误的视乎就会执行onerror事件;

    5. 利用CSS跨站。例如:Body {backgrund-image: url(“javascript:alert(‘xss’)”)};

    6. 扰乱过滤规则。例如:<IMG SRC=“javaSCript: alert(/xss/);”/>;

    7.利用字符编码,透过这种技巧,不仅能让XSS代码绕过服务端的过滤,还能更好地隐藏Shellcode;(JS支持unicode、eacapes、十六进制、十进制等编码形式)

    8.拆分跨站法,将xss攻击的代码拆分开来,适用于应用程序没有过滤 XSS关键字符(如<、>)却对输入字符长度有限制的情况下;

    9.DOM型的XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上,它不依赖于提交数据到服务器,而是从客户端获得DOM中的数据在本地执行。
    容易导致DOM型的XSS的输入源包括:Document.URL、Location(.pathname|.href|.search|.hash)、
    Document.referrer、Window.name、Document.cookie、localStorage/globalStorage;
    游客,如果您要查看本帖隐藏内容请回复

    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    4 天前
  • 签到天数: 123 天

    [LV.7]常住居民III

    6

    主题

    190

    帖子

    5464

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    5464
    发表于 2020-6-20 16:23:59 | 显示全部楼层
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2020-9-3 01:06
  • 签到天数: 45 天

    [LV.5]常住居民I

    0

    主题

    149

    帖子

    3378

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    3378
    发表于 2020-6-20 18:03:45 | 显示全部楼层
    11111111111111111111
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    昨天 15:34
  • 签到天数: 29 天

    [LV.4]偶尔看看III

    1

    主题

    87

    帖子

    875

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    875
    发表于 2020-6-20 18:06:39 | 显示全部楼层
    122222222222222222
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    难过
    前天 20:05
  • 签到天数: 47 天

    [LV.5]常住居民I

    1

    主题

    188

    帖子

    2253

    积分

    年费会员

    Rank: 4

    积分
    2253
    发表于 2020-6-20 20:03:00 | 显示全部楼层
    十分士大夫撒地方
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-9-6 01:11
  • 签到天数: 100 天

    [LV.6]常住居民II

    4

    主题

    182

    帖子

    4926

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    4926
    发表于 2020-6-21 18:05:03 | 显示全部楼层
    腾讯大牛教你web前后端漏洞分析与防御 慕课网 [修改]
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    前天 15:53
  • 签到天数: 41 天

    [LV.5]常住居民I

    3

    主题

    111

    帖子

    3375

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    3375
    发表于 2020-6-22 09:31:44 | 显示全部楼层
    dfffffffffffffffff
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-9-4 22:20
  • 签到天数: 43 天

    [LV.5]常住居民I

    2

    主题

    99

    帖子

    3340

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    3340
    发表于 2020-6-22 09:47:38 | 显示全部楼层
    666666666666666
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    昨天 00:28
  • 签到天数: 30 天

    [LV.5]常住居民I

    0

    主题

    102

    帖子

    3072

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    3072
    发表于 2020-6-22 10:04:32 | 显示全部楼层
    9999999999999999999
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-9-4 10:01
  • 签到天数: 153 天

    [LV.7]常住居民III

    2

    主题

    252

    帖子

    6404

    积分

    终身会员

    Rank: 6Rank: 6

    积分
    6404
    发表于 2020-6-22 14:19:08 | 显示全部楼层
    66666666666666666666
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    学习课程!一站搞定!
    学途无忧VIP会员群

    973849140

    周一至周日9:00-23:00

    反馈建议

    169371168@qq.com 在线QQ咨询

    扫描二维码关注我们

    学途无忧!为学习谋坦途,为会员谋福利!|网站地图