网络安全实训Day19

这篇具有很好参考价值的文章主要介绍了网络安全实训Day19。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

网络空间安全实训-渗透测试

  • XSS攻击

    • 定义

      • 跨站脚本攻击,用户在网页上提交自行构造的恶意JS脚本,使脚本在浏览网页的用户浏览器上执行

    • XSS与SQL注入的区别

      • SQL注入攻击的对象是服务器后端

      • XSS攻击的对象是浏览网站的用户

    • XSS攻击类型

      • 反射型XSS

        • 是将恶意脚本附加在URL中进行的攻击,需要攻击者手动将包含恶意脚本的URL发送给受害者点击,是一种一次性的攻击

      • 存储型XSS

        • 是将恶意脚本提交到网站的数据库中,每个通过该网站访问该数据的用户都将执行该代码

      • DOM型XSS

        • 一种特殊的反射型XSS,攻击点在Document对象中

    • 通过XSS盗取网站管理员的cookie

      • 1.在攻击方本地搭建用于接收cookie的网站

        • 创建接受cookie的页面

        • 给页面执行和访问权限

        • 给html文件夹执行和修改权限

      • 2.在网站留言版中提交包含JS文件的代码

      • 3.等待对方管理员浏览该留言

      • 4.在攻击机查看盗取的cookie值,并将改cookie替换掉自己的cookie来访问网站后台

    • XSS的防御及绕过

      • 1.对用户提交的内容进行安全检查和过滤

        • 大小写转换绕过

        • 双写绕过

        • 使用非<script>标签绕过

        • 如果检查和过滤是发生在浏览器前端,可以通过Burpsuite抓包绕过

      • 2.使用函数进行特殊字符的转义

      • 网络安全实训Day19,web安全,安全,XSS,跨站脚本攻击文章来源地址https://www.toymoban.com/news/detail-860157.html

到了这里,关于网络安全实训Day19的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全测试中的跨站点脚本攻击(XSS):Python和FlaskSecurity实现跨站脚本攻击测试

    作者:禅与计算机程序设计艺术 引言 1.1. 背景介绍 跨站点脚本攻击(XSS)是一种常见的网络安全漏洞,攻击者通过在受害者的浏览器上执行自己的脚本代码,窃取、修改用户的敏感信息。随着互联网的发展,跨站点脚本攻击在各类应用中愈发普遍。为了提高网络安全水平,

    2024年02月07日
    浏览(57)
  • web安全学习日志---xss漏洞(跨站脚本攻击)

      仅执行一次,非持久型。主要存在于攻击者将恶意脚本附加到url的参数中,发送给受害者,服务端未经严格过滤处理而输出在用户浏览器中,导致浏览器执行代码数据。 利用场景: 直接插入JS代码,修改url参数    攻 scriptalert(\\\'hack\\\')/script 防 $name=str_replace(\\\'script\\\', \\\'  \\\',$name

    2024年02月13日
    浏览(114)
  • 【安全测试】Web应用安全之XSS跨站脚本攻击漏洞

    目录 前言 XSS概念及分类 反射型XSS(非持久性XSS) 存储型XSS(持久型XSS) 如何测试XSS漏洞 方法一: 方法二: XSS漏洞修复 原则:不相信客户输入的数据 处理建议 资料获取方法 以前都只是在各类文档中见到过XSS,也进行过相关的学习,但是都是一知半解,过了一段时间就忘了。

    2024年02月14日
    浏览(54)
  • 【web安全】XSS攻击(跨站脚本攻击)如何防范与实现

    目录 XSS介绍 防范要点 实现方法 XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论

    2024年02月12日
    浏览(51)
  • 网络安全实训Day22

    网络空间安全实训-渗透测试 定义:跨站伪造请求攻击 攻击者透过诱骗受害者点击攻击者提前构造的恶意链接,从而以受害者的身份向网站服务器发起请求,达到攻击的目的 1.搭建创建管理员账号的站点 1.将对方网站创建管理员账户的源代码复制并修改后,创建本机的页面

    2024年04月27日
    浏览(31)
  • 网络安全实训Day24(End)

    写在前面 并没有完整上完四个星期,老师已经趁着清明节假期的东风跑掉了。可以很明显地看出这次持续了“四个星期”实训的知识体系并不完整,内容也只能算是一次基础的“复习”。更多的内容还是靠自己继续自学吧。 网络空间安全实训-渗透测试 定义 利用页面中incl

    2024年04月27日
    浏览(31)
  • WEB漏洞-XSS跨站脚本漏洞解决方案参考

    WEB漏洞-XSS跨站脚本漏洞解决方案-CSDN博客 Java使用过滤器防止XSS脚本注入_防注入 参数过滤-CSDN博客

    2024年02月01日
    浏览(71)
  • 浏览器安全之XSS跨站脚本

    跨站脚本(Cross-Site Scripting,XSS) 是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。 攻击者 利用网站漏洞把 恶意的脚本代码(通常包括HTML代码和客户端Javascript脚本) 注入到 网页 之中,当其他用户浏览这些网页时,就

    2024年02月03日
    浏览(25)
  • 浏览器基础原理-安全: 跨站脚本攻击(XSS)

    XSS 跨站脚本 (Cross Site Scripting): 概念: XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。 实现方式: 起初,这种攻击通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件中注入恶

    2024年02月11日
    浏览(39)
  • 网络安全 Day19-计算机网络基础知识04(网络协议)

    Linux查看arp:arp -a 局域网内主机的通讯方式是通过MAC地址来实现的 告诉MAC地址如何查找物理记得位置 员工入职记录网卡MAC地址 工位网线接口上联交换机端口,用交换机查看 刚连接上网络时的电脑和交换机情况 当PC1开始发出数据传输PC7请求时(请求内容:PC1deIP PC1的MAC地址

    2024年02月15日
    浏览(73)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包