xss 总结 调研 介绍

《xss 总结 调研 介绍》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、XSS检测与防范总结XSS全称：跨站脚本攻击(CrossSiteScripting)简单概括：往页面插入恶意脚本百度百科定义：恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的优点：漏洞无处不在缺点：1、属于被动攻击，攻击时间长且不确定2、没有自动化的攻击工具危害性：1、获取cookie(若cookie加入了httponly则无法获取)2、模拟请求3、发评论、发微薄、发广告、刷投票、获取私人信息、聊天内容等；根据网站功能不一样

2、，而能做不同的事情更恶意的：获取私人信息+社会工程学：获取密码，尝试邮箱、QQ、支付宝等攻击注册或登录页面，获取甚至修改用户密码蠕虫，通过被攻击者去发起攻击，让更多用户受攻击挂马、DDos……..等攻击的位置：1、所有用户输入的地方7（任何input输入框、编辑信息、发送评论、上传图片等）1、请求服务器时url所带参数（2实际上包括了1，因为用户输入最后也是通过请求发送到服务器，关键在于是否经过过滤或其他处理才输出）攻击分类：1、将带有攻击脚本的url发给被攻击者，欺骗其点击（此url可以是经过编码或者转换为短链

3、，从而无法看出里面带有攻击脚本）2、将攻击脚本存到服务器（如：编辑自己的个人信息或发送带脚本的评论、文章，若有漏洞没过滤）受攻击者：用户（当用户浏览你的信息或评论、文章时就会被攻击）网站管理员（当管理员点击管理你的用户时被攻击）检测XSS漏洞方法：在页面插入脚本，若脚本能运行，则表明有漏洞通常可以通过alert弹框来判断常用检测方式：ipt>alert(1)ript>

4、.ckers.org/xss.js>“>

5、(1)“onclick=”alert(1)alert(1)Javascript:alert(1)javascript:alert('XSS')aaaa7aaaa

6、=”jAvAsCript:alert(1)”>aaaaaaaaI

7、frameembed里的src同a里的href特殊检测方式：1、base64将攻击代码进行base64_encode后插入到html属性里目前只发现以下四种方式可以执行base64_encode的代码：(1)、(2)、

8、iframe>(3)、