zoukankan      html  css  js  c++  java
  • XSS漏洞学习笔记

    XSS漏洞学习

    简介

    xss漏洞,英文名为cross site scripting

    xss最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的。

    说白了就是想尽办法让你加载一段js代码从而获取cookie等敏感信息进而搞破坏

    XSS大致分为三类

    • 反射性XSS:直接构造url来攻击,只能执行一次
    • DOM型XSS:暂时还没遇到过qwq
    • 存储型XSS:攻击者将js代码上传到有漏洞的服务器中,所有访问的人都会受到攻击

    挖掘地点

    最重要的是闭合标签

    • 个人资料(昵称, 签名, 说明, 邮箱, 微信/QQ)
    • POST提交到服务器的数据(留言)

    挖掘方式

    一般是人工挖掘或者机器挖掘

    人工挖掘

    人工挖掘最重要的就是试着构造请求语句从而执行js代码

    当启用http-only

    获取到的cookie可能为空/无利用价值。

    解决方法:利用xss的js代码使管理员访问到完全相同的钓鱼页面(首先要知道后台地址)

    机器挖掘

    介绍一个比较常用的工具—OWASP_Xenotix_XSS_Exploit_Framework

    下载完成之后直接点击压缩包内的Xenotix XSS Exploit Framework.exe打开即可

    首先配置一下本地服务器

    image

    接下来可以直接点击scanner进行扫描。可以选择GET或者POST方式。这里推荐选择GET,因为请求语句不会太长,而POST类型可能会对服务器造成伤害到时候管理员来查你水表

    然在弹出的框中输入需要的网址,等一会儿就会自动扫描啦

    据说这个软件内置了3000+语句,所以还是比较强大的

    平台

    在线平台

  • 相关阅读:
    一个给照片换底色的牛逼网站
    如何写好ppt
    当你迷茫时,就来看看这个视频!
    IPV6地址检测
    性能测试流程
    pycharm中无法以pytest运行
    Mac charles配置完成后无法上网
    Mac Mysql安装过程的各种坑
    python常用模块之——正则re模块
    Jmeter参数化真香
  • 原文地址:https://www.cnblogs.com/arkiflow/p/10753418.html
Copyright © 2011-2022 走看看