久久精品国产亚洲高清|精品日韩中文乱码在线|亚洲va中文字幕无码久|伊人久久综合狼伊人久久|亚洲不卡av不卡一区二区|精品久久久久久久蜜臀AV|国产精品19久久久久久不卡|国产男女猛烈视频在线观看麻豆

    1. <style id="76ofp"></style>

      <style id="76ofp"></style>
      <rt id="76ofp"></rt>
      <form id="76ofp"><optgroup id="76ofp"></optgroup></form>
      1. 千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機(jī)構(gòu)

        手機(jī)站
        千鋒教育

        千鋒學(xué)習(xí)站 | 隨時隨地免費(fèi)學(xué)

        千鋒教育

        掃一掃進(jìn)入千鋒手機(jī)站

        領(lǐng)取全套視頻
        千鋒教育

        關(guān)注千鋒學(xué)習(xí)站小程序
        隨時隨地免費(fèi)學(xué)習(xí)課程

        當(dāng)前位置:首頁  >  技術(shù)干貨  > 干貨|可別小看了XSS漏洞

        干貨|可別小看了XSS漏洞

        來源:千鋒教育
        發(fā)布人:wjy
        時間: 2022-10-09 09:36:50 1665279410

          對于初了解xss漏洞的人來說,XSS漏洞的危害就是獲取受害者的cookie,來進(jìn)行 ‘cookie劫持’。

          今天就總結(jié)一下XSS漏洞的危害性,望安全人員不要輕視,開發(fā)人員不要忽視

          XSS漏洞簡介

          XSS攻擊通常指黑客通過“HTML注入”篡改網(wǎng)頁,插入惡意腳本,從而使用戶瀏覽網(wǎng)頁時控制用戶瀏覽器的一種攻擊。

          例如:

        可別小看了XSS漏洞1

          如果我能控制a,將a改為,

          這個地方的代碼就會變成這樣:

        可別小看了XSS漏洞2

          就會執(zhí)行script腳本,這么想我們是不是能篡改網(wǎng)頁html文件,來讓他執(zhí)行我們的語句?

          第一 cookie劫持:

          如果網(wǎng)站存在XSS漏洞,可以通過XSS漏洞來獲取用戶的cookie

          危害:利用用戶的cookie來進(jìn)行登錄用戶后臺

          payload:

          第二 構(gòu)造GET或POST請求:

          黑客可以通過XSS漏洞,來使得用戶執(zhí)行GET或POST請求

          危害:可以控制用戶刪除數(shù)據(jù)或者發(fā)送郵件 例如GET payload:

        可別小看了XSS漏洞3

          POST請求 需要線創(chuàng)建一個表單,然后讓表單自動提交信息。

          第三 釣魚

          我們從一開始的XSS漏洞簡介可知道,XSS漏洞可以讓我們對網(wǎng)頁進(jìn)行篡改,如果黑客在登錄框的地方把原來的登錄框隱藏一下,自己偽造一個登錄框,用戶在登錄框上輸入賬號密碼就會傳送到黑客的服務(wù)器上

          危害:獲取用戶賬號密碼

          第四 識別用戶瀏覽器

          通過script語句能獲得用戶的瀏覽器信息 危害:獲取瀏覽器信息,利用瀏覽器漏洞進(jìn)行攻擊

          payload:

        可別小看了XSS漏洞4

        可別小看了XSS漏洞5

          第五 識別用戶安裝的軟件

          通過script語句能夠識別用戶安裝的軟件

          危害:獲取用戶軟件信息,利用軟件漏洞進(jìn)行攻擊

          如下代碼:

        可別小看了XSS漏洞6

          第六 獲得用戶真實(shí)ip地址

          借助第三方軟件,比如客戶端安裝了Java(JRE)環(huán)境,那么可以通過調(diào)用JavaApplet接口獲取客戶端本地IP

          第七 判斷用戶是否訪問某個網(wǎng)站

          style的visited屬性,訪問過的鏈接,顏色會變化.

          第八 蠕蟲

          用戶之間發(fā)生交互行為的頁面,如果存在存儲型XSS,則容易發(fā)起XSS Worm攻擊.

          如:2003年的沖擊波蠕蟲,利用的是Windows的RPC遠(yuǎn)程溢出漏洞

          還有百度空間蠕蟲,可自行百度搜一下

          XSS繞過方式

          JS編碼

          HTML編碼

          URL編碼

          長度繞過

          標(biāo)簽繞過(標(biāo)簽閉合,標(biāo)簽優(yōu)先性)

          window.name利用

          Flash XSS

          利用Javascript開發(fā)框架漏洞

          利用瀏覽器差異

          關(guān)鍵字、函數(shù)

          XSS防護(hù)方法

          過濾輸入的數(shù)據(jù),非法字符

          對數(shù)據(jù)進(jìn)行編碼轉(zhuǎn)換

          添加HttpOnly

          輸入合法性檢查

          白名單過濾標(biāo)簽

          DOM XSS防御

        tags:
        聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。
        10年以上業(yè)內(nèi)強(qiáng)師集結(jié),手把手帶你蛻變精英
        請您保持通訊暢通,專屬學(xué)習(xí)老師24小時內(nèi)將與您1V1溝通
        免費(fèi)領(lǐng)取
        今日已有369人領(lǐng)取成功
        劉同學(xué) 138****2860 剛剛成功領(lǐng)取
        王同學(xué) 131****2015 剛剛成功領(lǐng)取
        張同學(xué) 133****4652 剛剛成功領(lǐng)取
        李同學(xué) 135****8607 剛剛成功領(lǐng)取
        楊同學(xué) 132****5667 剛剛成功領(lǐng)取
        岳同學(xué) 134****6652 剛剛成功領(lǐng)取
        梁同學(xué) 157****2950 剛剛成功領(lǐng)取
        劉同學(xué) 189****1015 剛剛成功領(lǐng)取
        張同學(xué) 155****4678 剛剛成功領(lǐng)取
        鄒同學(xué) 139****2907 剛剛成功領(lǐng)取
        董同學(xué) 138****2867 剛剛成功領(lǐng)取
        周同學(xué) 136****3602 剛剛成功領(lǐng)取
        相關(guān)推薦HOT
        大數(shù)據(jù)測試工程師需要具備哪些技能?

        一、理解大數(shù)據(jù)概念大數(shù)據(jù)測試工程師需要理解大數(shù)據(jù)的基本概念和原理,如分布式存儲、MapReduce、實(shí)時計(jì)算等。他們還需要了解如何處理大規(guī)模的...詳情>>

        2023-10-14 23:43:03
        為什么SpringBoot的 jar 可以直接運(yùn)行?

        一、JAR文件的結(jié)構(gòu)與執(zhí)行方式Spring Boot的JAR包是Java Archive的縮寫,它是一種壓縮文件格式,可以將Java項(xiàng)目的類文件、資源文件以及依賴庫等...詳情>>

        2023-10-14 23:01:49
        站群服務(wù)器是什么?

        站群服務(wù)器的含義與用途站群服務(wù)器主要用于支持站群,即由一組相互鏈接的網(wǎng)站組成的群體。這些網(wǎng)站通常由同一組織或個人擁有,并且經(jīng)常會互相鏈...詳情>>

        2023-10-14 22:46:12
        自編碼器是什么?

        一、自編碼器原理自編碼器的設(shè)計(jì)靈感源于神經(jīng)科學(xué)中關(guān)于感知系統(tǒng)的認(rèn)知原理,它的核心思想是將輸入數(shù)據(jù)經(jīng)過編碼過程,形成一個隱藏層的特征表示...詳情>>

        2023-10-14 22:41:10
        什么是云網(wǎng)融合?

        一、云網(wǎng)融合的定義云網(wǎng)融合是指將云計(jì)算與網(wǎng)絡(luò)技術(shù)相結(jié)合,實(shí)現(xiàn)資源的共享、業(yè)務(wù)的協(xié)同,將網(wǎng)絡(luò)與云端服務(wù)深度融合,提供更靈活、高效、安全的...詳情>>

        2023-10-14 22:31:47
        泌阳县| 闻喜县| 昌吉市| 墨玉县| 大埔区| 开远市| 山西省| 庄河市| 厦门市| 三门峡市| 巢湖市| 板桥市| 兴和县| 旺苍县| 金昌市| 汉寿县| 乌拉特前旗| 乡城县| 平安县| 平果县| 呼伦贝尔市| 大宁县| 博罗县| 石棉县| 尼木县| 邮箱| 赫章县| 京山县| 三河市| 绥江县| 舞阳县| 塔河县| 丹江口市| 博客| 论坛| 施甸县| 句容市| 商水县| 辽宁省| 商河县| 远安县|