XSS漏洞类型原理及防御方式_三种xss漏洞防御?xss漏洞

XSS漏洞类型原理及防御方式_三种xss漏洞防御三、xss攻击类别
可以分为三类
反射型存储型DOM型
1、反射型XSS
当发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务

三、xss攻击类别

可以分为3类

反射存储DOM类型

1、反射型XSS

当发出请求时,URL中出现XSS代码,服务器解析并响应,最后浏览器解析并执行。 XSS 代码。

流程图:

让我们举个例子:

这是一个含有xss的网页。接下来,通过在输入框中输入js脚本代码来测试脚本是否运行。

#通常输入以下代码之一

scriptalert(/xss/)/script //提示框弹窗

scriptconfirm(\’xss\’)/script //确认框弹出窗口

scriptprompt(\’xss\’)/script //输入框弹出窗口

#这些代码简单,效果明显

点击“测试”并提交数据后,您将看到您输入的js被执行,并弹出提示框。

从URL中可以看到,输入的值被组合到URL中,作为参数传递给后端,经过钩子处理,然后返回到页面由浏览器解析。要执行的脚本。

源代码:

特点: 1.即时性。可以直接通过HTTP GET和POST请求进行攻击,获取用户的个人数据,无需经过服务器存储。 2.攻击者需要欺骗点击。修复; 4. 盗窃获取用户机密信息。

2、存储型XSS

存储型XSS(也称为持久型XSS)就是这样。将请求目标页面的XSS 代码。

过程:

让我们举个例子:

上面的公告牌有xss漏洞,所以我就把js脚本留在公告牌上贴出来。

js 脚本被执行,但此时我没有看到与反射类型有任何区别。但我关闭页面然后再打开,或者点击另一个页面然后点击返回。

可以看到js代码又被执行了,消息列表也显示出来了。当你进入一个页面时,浏览器会解析该页面,列表中的数据也会被解析。 js脚本将被执行。只要有人访问它们,Node.js 脚本就会继续运行,除非它们被删除,从而导致代码自动执行和持久化。

**特点:** 1. 持久化嵌入数据库。 2. 它具有广泛的损害,甚至可以将您的机器变成DDoS 攻击的肉鸡。 3、窃取用户敏感个人信息。

3、DOM型XSS

DOM(文档对象模型的正式名称)是一个独立于平台和语言的接口,允许程序和脚本动态访问和更新文档的内容、结构和样式。理解DOM-XSS 的一个简单方法是它确实如此。通过DOM 操作输出前端代码时出现的问题,不会与后台服务器生成数据交互。

DOM 有许多对象,其中一些对象可以由用户操作,例如URI、位置和refelTers。客户端脚本程序可以通过DOM 动态检查和修改页面的内容。它不依赖于向服务器发送数据,但如果DOM 中的数据不存在,它会从客户端检索DOM 中的数据并在本地执行。经过严格验证,产生DOM XSS漏洞。

让我们举个例子:

结合前端和源码我们可以看到,当我们点击“click me”时,我们输入的值会被js脚本代码处理后插入到ID为“dom”的标签中。可以看到只在前端完成,并没有经过服务器后端。

四、防御手段

给大家的福利

从基础零开始

对于刚接触网络安全的学生,我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。

同时,还根据成长路线提供了每个部分的支持视频。

由于篇幅有限,仅包含部分信息。

#以上XSS漏洞类型原理及防御方法相关内容来源_三类XSS漏洞防护仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92160.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月25日 上午5:01
下一篇 2024年6月25日 上午6:08

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注