zoukankan
html css js c++ java
web渗透之XSS基本介绍
想学XSS必须得有基本得JS知识
JS基础BOM
XSS漏洞原理
XSS(Cross Site Script),全称
跨站脚本攻击
。它指的是攻击者往web页面或者url里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入得内容没有过滤,那么当正常用户浏览该网页得时候,嵌入在Web页面里得恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的木目的。
XSS漏洞产生的条件:
1.输入点可控
2.输入能返回到前端页面兵被浏览器当作脚本语言解释执行
XSS危害:
Cookie窃取
键盘记录
客户端信息探查
XSS getshell
页面劫持
XSS蠕虫
XSS分类:
反射型XSS
存储型XSS
DOM型XSS
反射型XSS
又称非持久型XSS。攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,而Web应用程序知识不加处理的把该恶意脚本反射回受害者的浏览器而使受害者的浏览器执行相应的脚本。
存储型XSS
又称持久型XSS。攻击者上传的包含恶意js脚本的留言等信息被Web应用程序保存到数据库中,Web应用程序在生成新的页面的时候如果包含了该恶意js脚本,这样会导致所有访问该网页的浏览器解析执行该恶意js脚本。这种攻击类型一般常见在博客、论坛等网站中。
DOM型XSS
全称Document Object MOdel,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容,结构以及样式
DOM-XSS简单理解就是因为它输出点在DOM
基础知识-Cookie
XSS简单利用
XSS获取管理员权限(获取cookie)
XSS键盘记录
XSS写配置文件getshell
XSS获取内网IP
Cookie是用户浏览网页时网站存储在用户机器上的小文本文件,文件里面记录了与用户相关的一些动态或者设置,比如用户名、id、访问次数等,当用户下一次访问这个网站的时候,网站会先访问用户机器上对应的该网站的Cookie文件,举个例子登陆页面的记住密码功能,在Cookie有效期内可以直接登陆
根据cookie的时效性分为两种类型
持久型Cookie以文本形式存储在硬盘上,有浏览器存取
临时型Cookie也称会话Cookie,存储在内存中,当前浏览器关闭后会消失
使用蓝莲花平台搭建XSS平台获取cookie,在最后一行添加的语句是跳转到指定的网站
查看全文
相关阅读:
sql sever 的两种写法
多站点IIS用户安全权限设置图解教程
phpmyadmin“无法在发生错误时创建会话,请检查 PHP 或网站服务器日志,并正确配置 PHP 安装。”报错解决办法
天下无难事只怕有心人
apache配置上传目录禁止运行php的方法
C语言|博客作业03
C语言|博客作业07
C语言|博客作业05
2019秋季第一周作业
C语言|博客作业06
原文地址:https://www.cnblogs.com/sup3rman/p/12330163.html
最新文章
useful website
android隐藏软件盘
Android中View绘制流程以及invalidate()等相关方法分析
监听手机状态 网络,电话,位置等等~
Bitmap Drawable canvas 相关
流量监控
java音频
Hash Function —— 1H
Ball Dropping —— 1B
Determine the Photo Position —— 1D
热门文章
Find 3friendly Integers —— 1F
Alice and Bob —— 1A
Game of Swapping Numbers —— 1G
Codeforces Round #722 (Div. 2)
对尺度空间的理解 PAK FA T
OpenCV中使用SVM简介 PAK FA T
VLFeat中SIFT特征点检测 PAK FA T
SIFT算法中DoG特征点的修正 PAK FA T
一篇很好的讲解SIFT算法的文章 PAK FA T
vs2010配置VL_FEAT库 PAK FA T
Copyright © 2011-2022 走看看