zoukankan
html css js c++ java
web渗透之XSS基本介绍
想学XSS必须得有基本得JS知识
JS基础BOM
XSS漏洞原理
XSS(Cross Site Script),全称
跨站脚本攻击
。它指的是攻击者往web页面或者url里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入得内容没有过滤,那么当正常用户浏览该网页得时候,嵌入在Web页面里得恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的木目的。
XSS漏洞产生的条件:
1.输入点可控
2.输入能返回到前端页面兵被浏览器当作脚本语言解释执行
XSS危害:
Cookie窃取
键盘记录
客户端信息探查
XSS getshell
页面劫持
XSS蠕虫
XSS分类:
反射型XSS
存储型XSS
DOM型XSS
反射型XSS
又称非持久型XSS。攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,而Web应用程序知识不加处理的把该恶意脚本反射回受害者的浏览器而使受害者的浏览器执行相应的脚本。
存储型XSS
又称持久型XSS。攻击者上传的包含恶意js脚本的留言等信息被Web应用程序保存到数据库中,Web应用程序在生成新的页面的时候如果包含了该恶意js脚本,这样会导致所有访问该网页的浏览器解析执行该恶意js脚本。这种攻击类型一般常见在博客、论坛等网站中。
DOM型XSS
全称Document Object MOdel,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容,结构以及样式
DOM-XSS简单理解就是因为它输出点在DOM
基础知识-Cookie
XSS简单利用
XSS获取管理员权限(获取cookie)
XSS键盘记录
XSS写配置文件getshell
XSS获取内网IP
Cookie是用户浏览网页时网站存储在用户机器上的小文本文件,文件里面记录了与用户相关的一些动态或者设置,比如用户名、id、访问次数等,当用户下一次访问这个网站的时候,网站会先访问用户机器上对应的该网站的Cookie文件,举个例子登陆页面的记住密码功能,在Cookie有效期内可以直接登陆
根据cookie的时效性分为两种类型
持久型Cookie以文本形式存储在硬盘上,有浏览器存取
临时型Cookie也称会话Cookie,存储在内存中,当前浏览器关闭后会消失
使用蓝莲花平台搭建XSS平台获取cookie,在最后一行添加的语句是跳转到指定的网站
查看全文
相关阅读:
jedata日期控件的开始结束日期设置
springMVC中对HTTP请求form data和request payload两种数据发送块的后台接收方式
Java Code Examples for org.codehaus.jackson.map.DeserializationConfig 配置
Struts 2与AJAX(第二部分)
在Struts 2中实现文件上传
Strus 2的新表单标志的使用
在Struts 2中实现CRUD
Struts 2与AJAX(第三部分)
Struts 2中的OGNL
GridView中实现自定义时间货币等字符串格式
原文地址:https://www.cnblogs.com/sup3rman/p/12330163.html
最新文章
【ESSD技术解读02】企业级利器,阿里云 NVMe 盘和共享存储
“预习上课复习”:达摩院类人学习新范式探索
分布式系统一致性测试框架Jepsen在女娲的实践应用
阿里云日志服务SLS,打造云原生时代智能运维
最佳实践丨企业上云后资源容量如何规划和实施
Cloudera Manager 术语和架构
技术解读|云上企业级存储——打开存储新维度,促进用户核心业务创新
打破 Serverless 落地边界,阿里云 SAE 发布 5 大新特性
【ESSD技术解读01】 云原生时代,阿里云 ESSD 快照服务 助力企业级数据保护
最佳实践丨云上虚拟IDC(私有池)如何为客户业务的确定性、连续性保驾护航
热门文章
行列转换的SQL
文件(夹)复制、删除、重命名
利用ITaskbarList接口隐藏任务栏图标
《十二个故事》
146条经典偏方(祖传秘方)
让BDS2007(Delphi2007&C++Builder2007)编译出一个个性的文件名,而不是以Project的名称来命名
Delphi编写windows外壳扩展
精彩SQL收藏
RichEdit控件 SDK 参考手册
SQL SERVER中扩展存储过程大全
Copyright © 2011-2022 走看看