0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

一文了解安全测试基础之XSS

如意 来源:百家号 作者:测试之心 2020-06-28 11:15 次阅读

在web项目安全漏洞中,XSS是最为流程的漏洞类型之一,今天就来介绍一下XSS。

01 XSS介绍

跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

02 XSS分类

XSS简单的说就是没有做好校验,因为前端的用户输入的数据别人可以拦截,然后嵌入一些脚本代码或者其它的而达到不良的结果,有点类似与sql注入的攻击。

XSS攻击一般有这么三种分类:反射型XSS,存储型XSS,DOM型XSS。接下来,分别介绍一下三种分类,及其差别。

03 反射型XSS

攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。

04 存储型XSS

代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie。

存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库、内存、文件系统等),下次请求目标页面时不用再提交XSS代码,最典型的例子就是留言板XSS,用户提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言就会从数据库中加载出来并显示,于是发生了XSS攻击。

05 DOM型XSS

基于文档对象模型(Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如URI ,location,referrer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。

DOM XSS和反射型XSS、存储型XSS的区别在于DOM XSS代码并不需要服务器参与,发出XSS攻击靠的是浏览器的DOM解析,完全是客户端的事情。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安全测试
    +关注

    关注

    0

    文章

    26

    浏览量

    8701
  • XSS
    XSS
    +关注

    关注

    0

    文章

    24

    浏览量

    2373
收藏 人收藏

    评论

    相关推荐

    电池的安全测试项目有哪些?

    电池的安全测试是保证电池在实际使用过程中稳定、安全的重要手段。通过系列严格的测试项目,能够有效评估电池在不同条件下的表现,并提前发现潜在
    的头像 发表于 12-06 09:55 281次阅读
    电池的<b class='flag-5'>安全</b>性<b class='flag-5'>测试</b>项目有哪些?

    入门web安全笔记分享

    安全知识,例如HTML注入、XSS、CSRF、SQL注入、SSRF等,主要分为描述、实例和总结三部分,语言简练易懂。 目录展示 、HTML 注入 二、HTTP 参数污染 三、CRLF 注入 四、跨站
    的头像 发表于 12-03 17:04 255次阅读
    入门web<b class='flag-5'>安全</b>笔记分享

    读懂新能源汽车的功能安全

    电子发烧友网站提供《读懂新能源汽车的功能安全.pdf》资料免费下载
    发表于 09-04 09:22 3次下载

    IP 地址在XSS中的利用与防范

    ​随着互联网的普及和Web应用的广泛使用,跨站脚本攻击(XSS)成为了网络安全领域中的个重要威胁。在XSS攻击中,攻击者常常会巧妙地利用各种元素,包括用户的IP地址,来实现其恶意目的
    的头像 发表于 08-07 16:43 250次阅读

    了解芯片测试的重要性

    集成电路测试卡位产业链关键节点,贯穿设计、制造、封装以及应用的全过程。从整个制造流程上来看,集成电路测试具体包括设计阶段的设计验证、晶圆制造阶段的过程工艺检测、封装前的晶圆测试以及封装后的成品
    的头像 发表于 08-06 08:28 1323次阅读
    <b class='flag-5'>一</b><b class='flag-5'>文</b><b class='flag-5'>了解</b>芯片<b class='flag-5'>测试</b>的重要性

    ADC静态测试全流程:以斜坡测试为例(

    作者介绍 往期推荐 德思特测试测量:带您了解如何进行ADC&DAC精度测试 经过往期文章的介绍,有不少读者希望深入
    的头像 发表于 06-14 10:11 968次阅读
    ADC静态<b class='flag-5'>测试</b>全流程:以斜坡<b class='flag-5'>测试</b>为例(<b class='flag-5'>一</b>)

    了解焊球剪切力强度测试,附自动推拉力测试机应用!

    球剪切强度低是限制其应用的个重要问题。 为了解决客户的测试需求,科准测控为其定制了套技术方案,通过全自动推拉力机的应用,可以提升焊球剪切强度,并优化激光参数以进
    的头像 发表于 05-31 09:58 780次阅读
    <b class='flag-5'>一</b><b class='flag-5'>文</b><b class='flag-5'>了解</b>焊球剪切力强度<b class='flag-5'>测试</b>,附自动推拉力<b class='flag-5'>测试</b>机应用!

    get面阵工业相机

    快速了解面阵工业相机
    的头像 发表于 04-17 16:09 621次阅读
    <b class='flag-5'>一</b><b class='flag-5'>文</b>get面阵工业相机

    了解整车EMC测试

    敏感度(EMS),是产品质量最重要的指标之。EMC测试方法EMC测试主要包括辐射测试和传导测试两种方法。EMC
    的头像 发表于 04-12 08:37 1266次阅读
    <b class='flag-5'>一</b><b class='flag-5'>文</b><b class='flag-5'>了解</b>整车EMC<b class='flag-5'>测试</b>

    带你全面了解功能安全软件监控方案

    引言:功能安全标准(ISO26262 Part6)提到了用于错误探测的安全机制,其中就有程序流监控,本文主要探讨在AUTOSAR CP以及AP的场景下,怎么实现程序流监控。
    的头像 发表于 04-10 14:11 1255次阅读
    <b class='flag-5'>一</b><b class='flag-5'>文</b>带你全面<b class='flag-5'>了解</b>功能<b class='flag-5'>安全</b>软件监控方案

    了解工业电源测试项目与测试标准

    工业电源测试系统用于检测工业电源的各项测试项目,为电源测试提供体化测试解决方案,自动分析测试
    的头像 发表于 04-01 14:35 769次阅读

    电机干货!了解电机的原理及分类

    了解电机的原理及分类 电机是传动及控制系统中的重要部分,目前电机应用的重点也从过去简单的传动向电机的速度、位置、转矩的精确控制转移; 电机为何能够转动?电机又有哪些分类?不同工作环境下需要选用
    发表于 03-12 09:35

    pcb应变测试有多重要?了解

    pcb应变测试有多重要?了解
    的头像 发表于 02-24 16:26 1081次阅读

    了解电源适配器安规测试内容 评估安全

    在电源适配器测试过程中,安规测试是非常重要的环节,以确保符合安全标准和设计要求,降低使用安全风险,提供可靠的产品质量保证。
    的头像 发表于 01-18 16:29 666次阅读

    教您如何选择网分测试线缆?

    教您如何选择网分测试线缆? 选择网分测试线缆很重要,因为它们对于网络性能和数据传输的稳定性起着至关重要的作用。在选择网分测试线缆时,以下
    的头像 发表于 01-08 11:07 1051次阅读