zoukankan
html css js c++ java
web渗透之XSS基本介绍
想学XSS必须得有基本得JS知识
JS基础BOM
XSS漏洞原理
XSS(Cross Site Script),全称
跨站脚本攻击
。它指的是攻击者往web页面或者url里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入得内容没有过滤,那么当正常用户浏览该网页得时候,嵌入在Web页面里得恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的木目的。
XSS漏洞产生的条件:
1.输入点可控
2.输入能返回到前端页面兵被浏览器当作脚本语言解释执行
XSS危害:
Cookie窃取
键盘记录
客户端信息探查
XSS getshell
页面劫持
XSS蠕虫
XSS分类:
反射型XSS
存储型XSS
DOM型XSS
反射型XSS
又称非持久型XSS。攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,而Web应用程序知识不加处理的把该恶意脚本反射回受害者的浏览器而使受害者的浏览器执行相应的脚本。
存储型XSS
又称持久型XSS。攻击者上传的包含恶意js脚本的留言等信息被Web应用程序保存到数据库中,Web应用程序在生成新的页面的时候如果包含了该恶意js脚本,这样会导致所有访问该网页的浏览器解析执行该恶意js脚本。这种攻击类型一般常见在博客、论坛等网站中。
DOM型XSS
全称Document Object MOdel,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容,结构以及样式
DOM-XSS简单理解就是因为它输出点在DOM
基础知识-Cookie
XSS简单利用
XSS获取管理员权限(获取cookie)
XSS键盘记录
XSS写配置文件getshell
XSS获取内网IP
Cookie是用户浏览网页时网站存储在用户机器上的小文本文件,文件里面记录了与用户相关的一些动态或者设置,比如用户名、id、访问次数等,当用户下一次访问这个网站的时候,网站会先访问用户机器上对应的该网站的Cookie文件,举个例子登陆页面的记住密码功能,在Cookie有效期内可以直接登陆
根据cookie的时效性分为两种类型
持久型Cookie以文本形式存储在硬盘上,有浏览器存取
临时型Cookie也称会话Cookie,存储在内存中,当前浏览器关闭后会消失
使用蓝莲花平台搭建XSS平台获取cookie,在最后一行添加的语句是跳转到指定的网站
查看全文
相关阅读:
Collection接口
10linux基础-Centos7系统进程管理
09linux基础-文档归档和压缩
05Linux基础-vim编辑器和恢复ext4下误删除的文件
04linux系统基础-文件的基本管理和XFS文件系统备份恢复
03Linux基础-linux基本命令操作
02Linux基础-linux的基础操作
01Linux基础-环境搭建
3、函数
1、Python基础二
原文地址:https://www.cnblogs.com/sup3rman/p/12330163.html
最新文章
PythonStudy——名称空间 Name space
PythonStudy——魔法函数 Magic Methods
PythonStudy——Pycharm 小技巧
PythonStudy——Python 内置函数 Built-in function
PythonStudy——函数对象 Function object
PythonStudy——列表与字典推导式 List and dictionary derivation
PythonStudy——三元表达式 Ternary expression
表格和图在数据展示上面的思考
Http报文详解
MongDB索引
热门文章
对象DIY
数据库内置视图或者表结构在开发中的使用场景
Lunce编程模型
基于RDBMS的OLAP的解决方案
Hibernate锁机制
prototype
spring的Ioc容器与AOP机制
IO流2
LinkedList实现类
Set接口的使用
Copyright © 2011-2022 走看看