news 2026/7/8 7:35:47

xss漏洞原理

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
xss漏洞原理

一、XSS漏洞原理

1.概述

XSS被称为跨站脚本攻击(Cross Site Scripting),由于和层叠样式表(Cascading Style Sheets,CSS)重名,改为XSS。

主要基于JavaScript语言进行恶意攻击,因为js非常灵活操作html、css、浏览器。

2.利用方式

利用网页开发时web应用程序对用户输入过滤不足导致将恶意代码注入到网页中,使用户浏览器加载并执行恶意代码,通常是JavaScript类型,也包括java、vbs、flash、html等。

3.执行方式

用户浏览被XSS注入过的网页,浏览器就会解析这段代码,就被攻击了。因为浏览器当中有JavaScript解析器,浏览器不会判断代码是否恶意,只要符合语法规则,就直接解析了。

4.攻击对象

客户端攻击,对象大多为用户,网站管理员。
还有微博,网页留言板,聊天室等收集用户输入的地方。

5.XSS危害


(1)窃取cookie
因为大部分人喜欢将密码储存到浏览器当中,所以黑客一般渗透的时候就会先来浏览器查看已保存的cookie 来盗取各种用户账号

前面文章也提到预防xss一种方法 (传送门)

(2)未授权操作
js特性很强大,黑客会直接代替用户在html进行各类操作。比如劫持会话,刷流量,执行弹窗广告,还能记录用户的键盘输入。

(3)传播蠕虫病毒


6.简单代码


<?php
$input = $_GET["XSS"];
etho "<div>".$input."</div>";
?>

7.XSS验证


当在测试页面上提交以下代码,浏览器执行之后会出现弹窗,这是为了验证js代码是否被执行,代码被当做字符串输出在HTML页面上,浏览器当中的JavaScript解析器会根据

<script>alert(/xss/)</script> #比较常用
<script>confirm('xss')</script>
<script>prompt("xss")</script>

二、XSS漏洞分类


1.反射型XSS


非持久型XSS,最容易出现的XSS漏洞。

原理
用户在请求某个URL地址时,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码注入到URL,如果服务器端未对URL携带的参数做判断和过滤,直接返回响应页面,那么XSS攻击代码就会被一起传输到用户的浏览器,触发反射型XSS。

特点
非持久性
参数脚本
js代码在web应用的参数当中:搜索框

数据流量:浏览器---->后端---->浏览器

举个栗子:
当用户进行搜索时,返回结果通常包括用户的原始搜索内容,如果攻击者精心构造包含XSS恶意代码的链接,诱导用户点击并成功执行,用户的信息就被窃取了,甚至还可以模拟用户进行一些操作。

利用URL编码来迷惑

生成短网址,用来掩饰,造成迷惑。


2.存储型XSS


原理
被保存到服务器上,显示到HTML页面中,经常出现在用户评论的页面,攻击者将XSS代码保存到数据库中,当用户在此访问这个页面时,就会触发并执行XSS代码,窃取用户的敏感信息。

特点
危害性最大:持久的保存在服务器上
持久型XSS
js代码不在某个参数中,而是被写进了数据库或文件可以永久保存数据的介质中,如留言板等。

数据流量走向:浏览器—>后端—>数据库—>后端—>浏览器

3.DOM型XSS


首先什么是DOM? 什么又是DOM树?
移步
全称 文档对象模型(Document Object Model)

原理
基于文档对象模型(DOM)的一种漏洞。这种XSS与反射型XSS、存储型XSS有着本质的区别,它的攻击代码不需要服务器解析响应,触发XSS依靠浏览器端的DOM解析,客户端的JavaScript脚本可以访问浏览器的DOM并修改页面的内容,不依赖服务器的数据,直接从浏览器端获取数据并执行。
简单利用
<script>
var text = document.getElementByld('private_msg').innerHTML;
alert(text);
</script>
AI写代码
javascript



版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/1 16:25:12

慧荣和单浓度口鼻暴露系统软件界面视觉设计

北京慧荣和科技有限公司专注于气溶胶和吸入毒理科研仪器设备的研发和生产&#xff0c;是国家高新技术企业。成功的开发出动物气体染毒装置、细胞气体染毒装置、吸烟机、放射污染洗消装置、手术器械消毒仪、血液消毒仪、等。所开发仪器广泛应用国防、医疗、卫生、防疫、环保、教…

作者头像 李华
网站建设 2026/7/1 16:39:48

2026年降AI保持学术性:专业术语怎么处理才不被误改

2026年降AI保持学术性&#xff1a;专业术语怎么处理才不被误改 上个月&#xff0c;一个博士师兄拿着他的论文来找我吐槽。他用某款降AI工具处理了一篇关于深度强化学习的论文&#xff0c;结果"马尔可夫决策过程"被改成了"马尔可夫判断流程"&#xff0c;“…

作者头像 李华
网站建设 2026/7/1 7:42:04

高级Java工程师必备Netty技术怎么高效学习?

前段时间在Github上看到一条评论&#xff0c;说的是&#xff1a; Java程序员都要会Netty&#xff0c;不会的都是初级或者**这种言论过于偏薄。大家都是学技术的&#xff0c;大部分人进入这一行业都是为了更高的薪资&#xff08;纯纯感兴趣的除外&#xff09;每接触一门新的技术…

作者头像 李华
网站建设 2026/7/2 6:21:53

从0到1详解SpringBoot代码案例,阿里SpringBoot王者晋级之路真香

大家都知道&#xff0c;Spring Boot框架目前不仅是微服务框架的最佳选择之一&#xff0c;还是现在企业招聘人才肯定会考察的点&#xff1b;很多公司甚至已经将SpringBoot作为了必备技能。但&#xff0c;现在面试这么卷的情况下&#xff0c;很多人面试时还只是背背面试题&#x…

作者头像 李华
网站建设 2026/7/5 22:37:37

零基础转行网安,需要学习多久才能上手?

对于想入行网络安全的新人来说&#xff0c;最常困惑的问题莫过于&#xff1a;“零基础转行&#xff0c;需要学习多久才能上手&#xff1f;” 其实&#xff0c;网络安全入门门槛比想象中低&#xff0c;关键在于理清技术领域的分类特点&#xff0c;再制定科学的学习路径。 只要…

作者头像 李华
网站建设 2026/7/1 7:42:02

CTF 大赛是什么?从技术游戏到安全人才孵化器

在网络安全领域&#xff0c;CTF&#xff08;Capture The Flag&#xff0c;夺旗赛&#xff09;是检验技术实力的 “试金石”&#xff0c;也是白帽黑客成长的 “练兵场”。对于刚接触网络安全的新手来说&#xff0c;CTF 既神秘又充满吸引力 —— 它不像传统考试那样侧重理论&…

作者头像 李华