当前位置：首页 > news >正文

跨站脚本攻击XSS

news 2026/5/12 8:28:27

漏洞产生原因：

XSS攻击本质上是一种注入攻击，产生原因是Web应用对外部输入参数处理不当，攻击者将恶意代码注入当前Web界面，在用户访问时执行

漏洞攻击手段：

反射型（非持久型）XSS-将payload包含在URL参数中，每次攻击都需要用户点击这个URL
存储型（持久型）XSS-将payload存储在服务端，受害者每次访问，服务端都会在响应页面中嵌入之前存储的恶意代码，并在客户端执行
这两种都与服务端应用的处理逻辑有关系，是服务端返回的HTML源码中存在相应的弹窗代码，恶意Javascript代码在HTTP请求中被视为服务端应用的输入，并且嵌入返回的HTML页面。
基于DOM的XSS-正常应用中的Javascript程序可以接受外部的输入数据并且直接在客户端渲染和执行，处理不当导致将外部数据当作代码来执行。通常是客户端的Javascript脚本在修改和构造当前页面的DOM节点时触发恶意代码的执行。DOM型XSS漏洞出现在前端代码中，他是在Javascript代码执行时触发的，依赖真实的浏览器执行环境。所以在扫面DOM型XSS漏洞时要用到浏览器引擎，比如在扫描器中集成Webkit；然后在不同的输入节点（URL、window.name）构造payload，在Webkit中监测网页会不会执行这些payload。
Self-XSS攻击-利用社会工程学欺骗用户，让他们自己去复制恶意代码到浏览器中。防御手段-不允许粘贴Javascript伪协议的URL。

漏洞防御手段：

1、HttpOnly：配置HttpOnly属性，保护Cookie不被Javascript读取，防止会话劫持。
2、输入过滤：检查和过滤输入的参数。“XSS Filter”
3、输出转义：在输出变量时根据不同的场景有针对性的编码或转义。
4、DOM型XSS漏洞出现在前端代码中，他是在Javascript代码执行时触发的，依赖真实的浏览器执行环境。所以在扫面DOM型XSS漏洞时要用到浏览器引擎，比如在扫描器中集成Webkit；然后在不同的输入节点（URL、window.name）构造payload，在Webkit中监测网页会不会执行这些payload。
5、内容安全策略（Content Security Policy，CSP）

漏洞利用：

同源策略使恶意网站的Javascript代码无法直接获取到用户其他网站的信息。攻击者可以通过XSS攻击将恶意的Javascript代码注入到目标网站的页面中执行，从而达到跨域访问的目的。
XSSpayload本质上是一段Javascript代码，且他和应用自身的Javascript代码在统一执行环境中，所以正常应用能做的事情都能通过XSSpayload实现
1、通过读取浏览器的Cookie对象发起“Cookie劫持”攻击---防御：在Set-Cookie中给关键的Cookie设置HttpOnly属性；把Cookie与客户端IP绑定。
2、构造GET和POST请求---攻击者通过Javascript让用户发送GET和POST请求来执行Web中的功能
发送GET请求---创建Image对象，将其src属性指定为目标URL。
发送POST请求---提交表单，使用Javascript创建一个表单对象，填充表单中的字段，然后提交表单；提交更复杂的数据格式请求，使用XMLHttpRequest或Fetch API。
3、XSS钓鱼
4、XSS攻击平台---BeEF

XSS攻击技巧：P96
Javascript框架：P102
总结：P124

本文摘录总结于《白帽子讲Web安全》（第二版）

跨站脚本攻击XSS

漏洞产生原因：

漏洞攻击手段：

漏洞防御手段：

漏洞利用：

相关文章：

跨站脚本攻击XSS

C++中的vector与C语言中的数组的区别

drawio画图编辑图形颜色

uniapp中uni.navigateTo传递变量

Spring Boot 构建war 部署到tomcat下无法在Nacos中注册服务

（2024，Attention-Mamba，MoE 替换 MLP）Jamba：混合 Transformer-Mamba 语言模型

“Java泛型” 得所憩，落日美酒聊共挥

pdf、docx、markdown、txt提取文档内容，可以应用于rag文档解析

【Linux系列】“dev-node1“ 运行的操作系统分析

SpriingBoot整合MongoDB多数据源

深入浅出 -- 系统架构之负载均衡Nginx缓存机制

前端小程序框架UniApp

宏集PLC如何为楼宇自动化行业提供空调、供暖与通风的解决方案？

【TI毫米波雷达】官方工业雷达包的生命体征检测环境配置及避坑（Vital_Signs、IWR6843AOPEVM）

计算机毕业设计选题之基于SSM的旅游管理系统【源码+PPT+文档+包运行成功+部署讲解】

JavaWeb入门——Web前端概述及HTML，CSS语言基本使用

数据结构（3）----栈和队列

nestjs 全栈进阶--module

jupyter python paramiko 网络系统运维

Windows Edge浏览器兼容性问题诊断与修复策略详解

MetaGPT多智能体协作框架：从原理到实战的AI自动化软件开发指南

为什么你需要m4s-converter：让B站缓存视频重获自由的秘密武器

黑莓印相≠复古滤镜！基于CIE Lab色域分析的Midjourney色彩空间偏移校准方案（附Python验证脚本）

凌晨还在改论文？这些降重黑科技帮你一键通关

研究生必备｜5款主流文献引用工具深度测评：从课程论文到毕业答辩，哪款能让你省下20小时格式调整时间？

阿里：时序课程解决多轮蒸馏不稳定

技术栈选择的跟风陷阱：新潮技术与稳定性的平衡

004、TinyML技术栈全景图：从模型到部署

别再乱接电源了！STM32的VDDA、VSSA、VBAT引脚，一个没接对，ADC采样全是噪声

应急通信无人机中继部署与覆盖率优化【附仿真】