一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
2022-01-08 00:31:18 3KB xss漏洞 sql注入 xss攻击 XssFilter
1
主要介绍了PHP实现表单提交数据的验证处理功能,可实现防SQL注入和XSS攻击等,涉及php字符处理、编码转换相关操作技巧,需要的朋友可以参考下
2022-01-07 08:38:07 61KB PHP 表单提交 数据 验证
1
不多说 完整版 这个是少有的完整版 XSS跨站脚本gj剖析与防御
2022-01-06 11:00:46 65.32MB XSS 网站攻击 脚本攻击 网站安全
1
文件中包含myzoo,csrf.html,xss.txt,hijack.html.其中myzoo是测试网站,csrf需要在测试网站中的profile中设置超链接,xss攻击则直接可以将xss.txt内容复制到profile中,点击劫持也是需要设置超链接。
2022-01-04 14:17:00 266KB CSRF XSS 点击劫持
1
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
2021-12-31 19:00:08 48KB xss XssFilter SQLFilter XSS过滤
1
如何测试XSS漏洞借鉴.pdf
2021-12-30 09:00:20 12KB 网络文档
360通用XSS/SQL防注入.zip
2021-12-28 17:00:05 3KB 安全漏洞 360安全文件
1
XSS攻击常识及常见的XSS攻击脚本汇总
2021-12-27 19:00:09 358KB 渗透测试 XSS攻击 XSS脚本 XSS攻击原理
鹰计划(Alpha) Project Eagle是基于插件的漏洞扫描程序,具有线程支持,可用于大规模检测低悬垂的错误 .---. .----------- / \ __ / ------ / / \( )/ ----- ////// ' \/ ` --- Multipurpose vulnerability scanner //// / // : : --- v1.0b
2021-12-27 17:01:50 29KB python ftp hacking xss
1
360在线网站安全检测,web安全测试AppScan扫描工具,XSS常用的攻击手法-附件资源
2021-12-22 14:48:27 106B
1