利用XSS注入漏洞能对网站做什么

最新推荐文章于 2024-04-25 12:56:45 发布
VIP文章 最新推荐文章于 2024-04-25 12:56:45 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 啊德玛档案 文章标签: 漏洞 bug javascript 网络攻击 XSS注入漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hcs1567/article/details/69257564
版权
或许大家经常看一些高手测试XSS漏洞都是alert一个窗口来。便以为XSS即是如此,当自己alert出窗口来,便说自己发现了漏洞。

其实远没这么简单。你发现的只是程序员的一个小bug而已,远谈不上XSS。它们的关系如同系统漏洞与漏洞利用的关系,不可同日而语。你的系统是否出现过“****内存不能为read”?你是否知道它是溢出漏洞的一种表现呢?但想因此做出exploit远不是那么简单的事情,你能说自己发现了溢出漏洞了么?


XSS高手们的那些XSS,大家都是可以拿出来做些什么的,这样的东西才能算得上漏洞。
那么利用xss漏洞能做什么?我认为应该有几点:
1、针对性挂马。所以这类网站一定是游戏网站,银行网站或者是关于qq、taobao或者影响力相当大的网站等,它们必须有我们平常需要盗取的帐号密码;当然也或许是这个站点的浏览量相当高,我们能将更多的马挂出去。而如果仅仅是平平常常的一个小站点的XSS漏洞,如果我们要挂马,那么还不如就直接把木马页面地址贴出去。
2、用户权限下操作。这类网站则必须有会员了,而且这些会员有很多有意义的操
最低0.47元/天 解锁文章
牛叉啊德玛
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss、脏牛提权.zip
06-18
包含xss注入闯关小游戏和脏牛提权exp等干货
预防XSS攻击和SQL注入XssFilter
07-23
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...
XSS漏洞详解
热门推荐
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
Chrome浏览器,被国内大佬超越!
最软库官方账号
03-07 1126
嗅觉浏览器没有Google服务和低资源使用率的 Chromium - 由于Wexond在引擎盖下使用Electron,它仅基于几个也是最重要的 Chromium组件,因此它不会因冗余的Google跟踪服务和其他服务而臃肿。说起电脑上的浏览器,Chrome浏览器是大家公认比较好用的,但由于网络环境的限制,对于许多国内用户来说,如果缺乏一定的技术能力,他们可能无法获得与国内厂商定制浏览器相同的体验。开发改良版,开源免费,没有任何广告,不要让网站跟踪你,网站的加载速度甚至可以提高 8 倍!
XSS漏洞利用
LizePing_的博客
07-29 4463
XSS利用利用XSS窃取cookieXSS修改网页XSS获取用户信息XSS+CSRF 组合拳盲打XSS(Blind XSS)利用开启HttpOnly下的利用1.phpinfo页2.框架钓鱼3.跳转钓鱼4.历史密码5.获取源码6.通过xss伪造oauth等授权请求,远程登录其它 利用XSS窃取cookie 窃取cookie是xss利用最常见的手段,攻击者有了cookie就相当于拥有了“管理员”身份。 通常需要配合xss平台来进行攻击,当被攻击者访问到有恶意代码的页面,他的cookie就会被发送到xss平台。
XSS漏洞利用方式总结
XunanSec的博客
05-21 4611
前言: 最近一直在挖漏洞,碰到的XSS漏洞最多了,今天就顺便来讲一下,如有错的地方,烦请指出。 00×1什么是XSS漏洞XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 ​ 00×2 XSS漏洞有什么危害: 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 ...
利用xss漏洞什么?
alex_2008的专栏
04-08 3339
利用xss漏洞什么? 2008-03-31 18:29:48 或许大家经常看一些高手测试XSS漏洞都是alert一个窗口来。便以为XSS即是如此,当自己alert出窗口来,便说自己发现了漏洞。其实远没这么简单。你发现的只是程序员的一个小bug而已,远谈不上XSS。它们的关系如同系统漏洞漏洞利用的关系,不可同日而语。你的系统是否出现过“****内存不能为read”?你是否知道它是溢出漏
web 安全 xss 蓝莲花平台获取服务器过程
qq_25554351的博客
03-18 943
xss 分类 xss 跨站脚本攻击分为:反射型,存储型(存储在数据库), 反射型 非持久型,攻击方式具有一次性,每次需要输入弹出,出现在URL中作为参数请求服务器,服务器解析并响应 存储型 持久型,存在服务器上,数据库、文件等 DOM 型 xss 平台 搭建蓝莲花平台 ...
XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 3935
(1)了解beEF工具的使用; (2)加深理解XSS漏洞利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
WEB漏洞挖掘-XSS基础与利用(概念,类型,场景,危害)
sui_luan的博客
02-09 484
跨站脚本攻击漏洞概述 跨站脚本攻击漏洞类型及场景 XSS常用的绕过方式 跨站脚本攻击漏洞实操
xss漏洞利用方式总结
zlloveyouforever的博客
10-13 2387
XSS漏洞利用方式简单总结。有问题的同学请私信我,文章中网页挂马这一部分确实比较难实现。 此平台优点:界面布局清新、数据可阅读性好、IP获取准确、IP地址定位精准、轻量级(无需数据库)、对数据存储进行加密、GitHub开源方便与开发者交流(生命周期长)。 可以看到,BlueLotus平台还提供了一些js模板,便于我们参考或者构
SHELL的提权拿服务器教程
08-22
SHELL的提权拿服务器教程 菜鸟入侵基础 拿SHELL教程被学
Input XSS最新漏洞利用
06-12
注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“”、“”和 “<script>alert(/xss/)”。如果当你在Input框中输入“”,并在新 页面的源代码中找到这对标签的话,...
JSP使用过滤器防止Xss漏洞
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的Xss
JSP过滤器防止Xss漏洞的实现方法(分享)
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的XssF
修复所有 bug 并不能解决所有问题
最新发布
阿然的专栏
04-25 216
即使修复软件中所有的 bug,也并不能解决系统设计与实现的问题,系统问题需要同样的热情。
重庆思庄技术分享——Bug 12861117 RMAN 会话旋转
m0_61458430的博客
04-22 478
RMAN-00569:===============错误消息堆栈跟随===============关闭(例如:如果从管道或其他管道读取),RMAN 会话可能会无限旋转。在某些情况下,如果写入日志文件时遇到磁盘已满的情况。在某些平台上,rman 会话将在写入日志时遇到磁盘。RMAN-00558:解析输入命令时遇到错误。RMAN-00558:解析输入命令时遇到错误。RMAN-01006:解析期间发出错误信号。RMAN-01006:解析时发出错误信号。RMAN-00565:无法读取输入文件。
bug】使用mmsegmentaion遇到的问题
编程小白的博客
04-22 788
datasets/coalDataset.py配置文件,与其他配置对比之后发现自己将val_dataloader里面的pipeline写成了train_pipeline,以后还是得长点心哇,这个bug卡太久了。由于之前用自己数据集跑过internImage,想投机取巧把internImage自定义的配置文件拿过来直接用,果不其然报错了。所有的输出都是合适的,图像和标签大小没有问题,将问题转到配置文件中数据增强部分也就是自定义的configs/和问题二一样,在训练时没有问题,到了评估出指标时就开始报错。
bug是测不完的,根本测不完
qq_42904438的博客
04-19 459
恼火,测不完的bug,异常场景的bug要测,样式的问题要测,一旦变动一个需求,还要全盘通策,活生生的卖命啊!那就只走正常的业务流程,时间多再异常场景测试吧。简直不知道要怎么测试了。
sql注入漏洞xss漏洞的相同点与不同点
05-19
XSS漏洞则是利用Web应用程序对用户输入的HTML、JavaScript等标记语言没有充分过滤或者转义,从而导致恶意攻击者可以在网站页面上注入恶意代码,从而实现恶意操作。 2. SQL注入漏洞主要攻击的是后台数据库,而XSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值