所用工具
Google出品:开源Web App漏洞测试环境:Firing Range
XSS的类型
反射型XSS/不持久型XSS
选择的是echo函数,不加过滤,直接输出
input.php
<?php
$input = $_GET['input'];
echo 'output:<br>'.$input;
?>
显示
可以看到我们的输入直接被输出。 那么,如果我们的参数是JavaScript代码呢?
<script>alert('xss attack by lady_killer9')</script>
js代码执行
也就是说js能够做到的事情,都可在这里插入去实现,比如跳转到钓鱼网站。
Firing Range的Html Body存在的反射型XSS
反射性XSS攻击之html Body
脚本插入
下面是在dvwa中的展示
插入js代码
提交
查看网页源代码
存储型XSS/持久型XSS
和反射型XSS的即时响应相比,存储型XSS则需要先把代码保存到数据库或文件中,下次读取时仍然会显示出来,利用的问题依然是没有对用户的输入进行过滤。使用靶机pikachu的存储型xss。
<script>alert(document.cookie)</script>
XSS注入
注入成功
注入后留言列表
基于DOM的XSS
基于文档对象模型(Document Object Model,DOM)的一种漏洞。客户端的脚本可以通过DOM动态地修改页面内容,它不依赖于提交数据到服务器,而是从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM型XSS漏洞。
没了解过DOM的可以看一看HTML DOM教程
HTML DOM就像数据结构中的树,有根节点,叶子节点等,通过document对象进行写入。
F12查看源代码
使用F12查看,发现是把id为text的输入框的内容显示出来。单引号闭合即可,而且F12的时候就直接看见了。
提示给的是
'onclick="alert('lady_killer9')">
我使用的是
'onclick='alert('lady_killer9')
注入成功
常用Payload与工具
XSS扫描工具
工具不在于多,学一个就可以了,我学习的是第一个网络安全-XSStrike中文手册(自学笔记)。
Payloads
script标签类
对于没有过滤的很简单的XSS漏洞,可以使用
有的时候会过滤掉script,大小写、双写等无法绕过,可使用后面的payload。
结合js的html标签
可结合一些onclick、onerror等事件
<IMG οnmοuseοver=“alert(‘xxs’)”>
<img src=xss οnerrοr=alert(1)>
伪协议
上面的都不行的话,可以试试伪协议
绕过
大小写绕过
双写绕过
alert(“XSS”)
html编码绕过
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!