跨站脚本***(XSS***)
2017-07-31 23:22
197 查看
跨站***,即Cross Site Script Execution(通常简写为XSS)是指***者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种***方式。
用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。***者通过在链接中插入恶意代码,就能够盗取用户信息。***者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。
网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。
假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。
跨站脚本***,三步如下:
1.HTML注入,所有HTML注入范例只是注入一个JavaScript弹出式的警告框:alert(1)。
2.做坏事,如果您觉得警告框还不够刺激,当受害者点击了一个被注入了HTML代码的页面链接时***者能作的各种的恶意事情。
3.诱捕受害者。
用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。***者通过在链接中插入恶意代码,就能够盗取用户信息。***者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。
网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。
假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。
跨站脚本***,三步如下:
1.HTML注入,所有HTML注入范例只是注入一个JavaScript弹出式的警告框:alert(1)。
2.做坏事,如果您觉得警告框还不够刺激,当受害者点击了一个被注入了HTML代码的页面链接时***者能作的各种的恶意事情。
3.诱捕受害者。
相关文章推荐
- 跨站脚本-xss
- web前端安全 XSS跨站脚本 CSRF跨站请求伪造 SQL注入
- XSS跨站脚本与CSRF跨站请求伪造
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- 跨站脚本(CSS/XSS)
- 【安全牛学习笔记】XSS-简介、跨站脚本检测和常见的攻击利用手段
- Web十大安全隐患之XSS跨站脚本
- Asp.net安全架构之1:xss(跨站脚本)
- 【安全牛学习笔记】XSS-简介、跨站脚本检测和常见的攻击利用手段
- 跨站脚本(Cross-Site-Script,XSS)
- asp 网站 XSS跨站脚本漏洞如何修复
- PHP预防跨站脚本(XSS)攻击且不影响html代码显示效果
- Asp.net安全架构之xss(跨站脚本)
- XSS跨站脚本测试用例
- JavaScript学习笔记-跨站脚本(Cross-site scripting,CSS,XSS)漏洞
- Struts1.x 跨站脚本(XSS)漏洞的解决
- 跨站点脚本攻击XSS
- XSS跨站脚本小结
- 初级XSS跨站脚本总结
- 小心XSS 跨站脚本漏洞已是web漏洞王