zoukankan
html css js c++ java
web渗透之XSS基本介绍
想学XSS必须得有基本得JS知识
JS基础BOM
XSS漏洞原理
XSS(Cross Site Script),全称
跨站脚本攻击
。它指的是攻击者往web页面或者url里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入得内容没有过滤,那么当正常用户浏览该网页得时候,嵌入在Web页面里得恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的木目的。
XSS漏洞产生的条件:
1.输入点可控
2.输入能返回到前端页面兵被浏览器当作脚本语言解释执行
XSS危害:
Cookie窃取
键盘记录
客户端信息探查
XSS getshell
页面劫持
XSS蠕虫
XSS分类:
反射型XSS
存储型XSS
DOM型XSS
反射型XSS
又称非持久型XSS。攻击相对于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,而Web应用程序知识不加处理的把该恶意脚本反射回受害者的浏览器而使受害者的浏览器执行相应的脚本。
存储型XSS
又称持久型XSS。攻击者上传的包含恶意js脚本的留言等信息被Web应用程序保存到数据库中,Web应用程序在生成新的页面的时候如果包含了该恶意js脚本,这样会导致所有访问该网页的浏览器解析执行该恶意js脚本。这种攻击类型一般常见在博客、论坛等网站中。
DOM型XSS
全称Document Object MOdel,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容,结构以及样式
DOM-XSS简单理解就是因为它输出点在DOM
基础知识-Cookie
XSS简单利用
XSS获取管理员权限(获取cookie)
XSS键盘记录
XSS写配置文件getshell
XSS获取内网IP
Cookie是用户浏览网页时网站存储在用户机器上的小文本文件,文件里面记录了与用户相关的一些动态或者设置,比如用户名、id、访问次数等,当用户下一次访问这个网站的时候,网站会先访问用户机器上对应的该网站的Cookie文件,举个例子登陆页面的记住密码功能,在Cookie有效期内可以直接登陆
根据cookie的时效性分为两种类型
持久型Cookie以文本形式存储在硬盘上,有浏览器存取
临时型Cookie也称会话Cookie,存储在内存中,当前浏览器关闭后会消失
使用蓝莲花平台搭建XSS平台获取cookie,在最后一行添加的语句是跳转到指定的网站
查看全文
相关阅读:
bzoj3996: [TJOI2015]线性代数
bzoj3319: 黑白树
bzoj3745: [Coci2015]Norma
bzoj2437: [Noi2011]兔兔与蛋蛋
bzoj1110: [POI2007]砝码Odw
bzoj4919: [Lydsy1706月赛]大根堆
bzoj5085: 最大
bzoj2721: [Violet 5]樱花
Theoretical & Applied Mechanics Letters第2届编委会2015年度第1次全体编委会工作会议纪要(转自力学学会)
法国石墨烯研究者成功合成二维材料锗烯
原文地址:https://www.cnblogs.com/sup3rman/p/12330163.html
最新文章
解决AngularJS和Django模板标签冲突问题
结合使用AngularJS和Django
图解:如何U盘装Win7系统(傻瓜式装机) + 分区步骤图解(用WIN7自带管理工具)
怎么制作U盘系统/PE启动盘
Android 增量更新实例(Smart App Updates)
基于SIFT+Kmeans+LDA的图片分类器的实现
C++中引用和指针的区别
Android中使用JNI获得APK签名的哈希值
《具体数学》——特殊的数
《Mathematical Olympiad——数论》——整除
热门文章
《啊哈算法》——最短路径
《啊哈算法》——枚举
《具体数学》——和式
组合数学及其应用——计数问题
《啊哈算法》——排序
动态规划——区间dp
《具体数学》——递归问题
动态规划——线性dp
bzoj5131: [CodePlus2017年12月]可做题2
bzoj4737: 组合数问题
Copyright © 2011-2022 走看看