zoukankan      html  css  js  c++  java
  • 漏洞重温之XSS(下)

    XSS总结


    XSS的可利用方式

    1.在登录后才可以访问的页面插入xss代码,诱惑用户访问,便可直接偷取用户cookie,达到窃取用户身份信息的目的。

    2.修改昵称,或个人身份信息。如果别的用户在登录状态下访问被插入xss代码的自己的个人身份页面,则可达到窃取用户身份信息的目的。

    3.在管理员后台插入xss,当管理员登录并访问插入代码页面时,就会直接偷取管理员cookie。

    4.可以在网站聊天中,在与别人的聊天中直接在聊天框中输入xss代码,当别的用户在打开聊天页面的时候,可以直接达到偷取cookie的效果。

    5.在网站设置了httponly,却又明确存在xss的情况下,可以直接在登录页面插入xss,因为httponly的缘故无法直接记录cookie,但是却可以通过xss代码直接记录用户输入的账号密码,完成窃取用户身份信息的目的。

    6.通过文件包含来进行xss攻击,简单来说,同网站的不同网页,其中一个包含有用信息,但是不存在xss漏洞,存在文件包含漏洞;另外一个网页存在xss漏洞,却不存在有用信息。为了窃取其中一个网页的有用信息,可以使用存在文件包含的页面包含存在xss漏洞的页面,以完成对不存在xss漏洞页面的xss攻击。

    7.在网站插入xss代码进行跳转,跳转到另外一个挂马页面来视线对用户pc的控制,或者利用xss代码进行跳转,跳转到另外一个高仿页面,通过欺骗用户输入信息,来达到直接盗取用户登录信息的目的。


    xss常用攻击方式

    1.网站如果存在输入框或者文本框,或者在网站url中有某个值可以更改页面属性,则可直接用来进行xss攻击。

    2.通过修改请求包中的referer属性来进行xss攻击。

    3.通过修改请求包中的ua属性来进行xss攻击。

    4.通过修改请求包中的cookie来进行xss攻击。

    5.如果网页存在from表单并且直接可以通过url拼接属性来修改的值,也可用此进行xss攻击。


    xss常用绕过方式

    1.如果网页过滤了尖括号,那么可以使用并不需要使用尖括号的js时间来进行绕过。

    2.如果网页过滤了script、img等关键字,可以利用并不常用的a标签的href属性来进行绕过。

    3.如果网页过滤了所有可以使用的关键字,那么可以使用单词双写来进行绕过。

    4.如果网页过滤了所有可以使用的关键字,可以尝试使用大小写来绕过。

    5.如果网页过滤了所有可以使用的关键字,可以尝试使用实体编码来绕过。


    (未完待续...)

    文章未经本人允许,禁止转载。 有技术问题,可加好友讨论。 联系方式:QQ:MjgxMjMxODAzNQ== 微信:bzNycjByLVhpYW9taW5n
  • 相关阅读:
    第九十一天 how can I 坚持 技术-永远的技术
    第九十天 how can I 坚持
    Java控制台中输入中文输出乱码的解决办法
    【体系结构】转移预测器设计与比较1
    Ubuntu 13.04 用Sublime Text 2 编译运行 JAVA
    HDU 4605 Magic Ball Game (在线主席树|| 离线 线段树)
    个人重构机房收费系统之报表
    快速排序的递归和非递归实现
    HDU 3721 Building Roads (2010 Asia Tianjin Regional Contest)
    体验决定深度,知识决定广度。你的人生是什么呢? 操蛋和扯蛋没必要纠结 唯有继续
  • 原文地址:https://www.cnblogs.com/Xiaoming0/p/13460685.html
Copyright © 2011-2022 走看看