zoukankan
html css js c++ java
web渗透之XSS基本介绍
想学XSS必须得有基本得JS知识
JS基础BOM
XSS漏洞原理
XSS(Cross Site Script),全称
跨站脚本攻击
。它指的是攻击者往web页面或者url里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入得内容没有过滤,那么当正常用户浏览该网页得时候,嵌入在Web页面里得恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的木目的。
XSS漏洞产生的条件:
1.输入点可控
2.输入能返回到前端页面兵被浏览器当作脚本语言解释执行
XSS危害:
Cookie窃取
键盘记录
客户端信息探查
XSS getshell
页面劫持
XSS蠕虫
XSS分类:
反射型XSS
存储型XSS
DOM型XSS
反射型XSS
又称非持久型XSS。攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,而Web应用程序知识不加处理的把该恶意脚本反射回受害者的浏览器而使受害者的浏览器执行相应的脚本。
存储型XSS
又称持久型XSS。攻击者上传的包含恶意js脚本的留言等信息被Web应用程序保存到数据库中,Web应用程序在生成新的页面的时候如果包含了该恶意js脚本,这样会导致所有访问该网页的浏览器解析执行该恶意js脚本。这种攻击类型一般常见在博客、论坛等网站中。
DOM型XSS
全称Document Object MOdel,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容,结构以及样式
DOM-XSS简单理解就是因为它输出点在DOM
基础知识-Cookie
XSS简单利用
XSS获取管理员权限(获取cookie)
XSS键盘记录
XSS写配置文件getshell
XSS获取内网IP
Cookie是用户浏览网页时网站存储在用户机器上的小文本文件,文件里面记录了与用户相关的一些动态或者设置,比如用户名、id、访问次数等,当用户下一次访问这个网站的时候,网站会先访问用户机器上对应的该网站的Cookie文件,举个例子登陆页面的记住密码功能,在Cookie有效期内可以直接登陆
根据cookie的时效性分为两种类型
持久型Cookie以文本形式存储在硬盘上,有浏览器存取
临时型Cookie也称会话Cookie,存储在内存中,当前浏览器关闭后会消失
使用蓝莲花平台搭建XSS平台获取cookie,在最后一行添加的语句是跳转到指定的网站
查看全文
相关阅读:
表空间_oracle
linux_1_Wed May 15 10:18:56 CST 2019
玩oracle vm virtualBox+mac电脑+isomini7centos
字符串比较用equal以及==的区别
送货地图中的数据库操作
花
健康,有度
qa角色记一次测试过程回溯
jmeter计数器的使用
jmeter解析response里的json对象和数组
原文地址:https://www.cnblogs.com/sup3rman/p/12330163.html
最新文章
vue组件传值(8种方法)----props、$emit()、手动封装事件订阅observer、事件总线(Eventbus)、vuex、亲兄弟传值、provide/inject、插槽作用域
移动端适配的设置 root fontsize
设置npm源为淘宝镜像
npm无法安装任何包的解决办法
window安装node-sass
npm安装依赖时-S和-D的作用及区别
vue12----eCharts、HackerAttacks 黑客攻击
打造移动应用与游戏安全防线,腾讯WeTest安全服务全线升级
远离服务器宕机,腾讯WeTest正式推出服务器深度性能测试服务
三年同行,质造未来,腾讯WeTest五大服务免费体验
热门文章
一种精准monkey测试的方法
游戏人工智能 读书笔记 (三) 游戏和人工智能的相互影响
“地表最贵iPhone”到货,iPhone XS 系列手机等你来测!
http性能测试点滴
“腾讯WeTest助力《龙珠直播》盘点APP质量问题”
腾讯WeTest受邀参展2018谷歌开发者大会,Android 9专区免费开放
Android 9 适配怎么做? “QQ音乐”优化实录
计算机的基本组成-4-一个程序在计算机上每一步是走了哪些地方实现的
构造器和泛型的好处
enum枚举
Copyright © 2011-2022 走看看