xss漏洞

1、原理

跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是javascript,但实际上也可以包括java、VBscript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作),私密网页内容、回话和cookie等各种内容。

2、实例

地址:https://dvwa.ceshiren.com/vulnerabilities/xss_r/?name=test+%3Cscript%3Ealert+%28%22test%22%29%3C%2Fscript%3E#

输入test <script>alert ("test")</script>

 结果:

 代码:

 常见的攻击payload

 3、危害与防范

危害:畏寒网站上的其他用户,导致被动执行非预期网页脚本

预防:输入输出过滤、利用浏览器安全机制等

检测:可自动化发现

posted on 2021-08-25 15:48  crystal1126  阅读(94)  评论(0编辑  收藏  举报

导航