XSS攻击笔记

最新推荐文章于 2024-04-10 20:05:14 发布
最新推荐文章于 2024-04-10 20:05:14 发布
阅读量174 收藏
点赞数
文章标签: xss 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_i_n_n/article/details/118358722
版权

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

————百度百科
xss有三种分别是:反射型 ,储存型 ,DOM型
反射型:

下面为一个测试的表单页面:

XSS原理重现
<?php $xss = $_GET[‘xss_input’]; echo ‘你输入的字符为
’.$xss; ?>

在页面中输入框输入:

会弹出弹框

其实反射型一般只是为了验证测试 站点是否存在xss漏洞 当然反射型也是有一点危害的 比如可以打本地cookie

xss一般在网站的留言板 评论区 搜索框 只要是有表单提交的地方 我们不妨试一下 对了 之所以存在xss漏洞是因为网站没有过滤字符

比如我们在留言板输入alert(“xss”) 时 程序员没有将<> / “” 等字符给过滤掉 所以导致xss的危害

我们在实战中 并没有这么简单 实战中 一些网站安全性都是很高的 他们都会限制一些字符 长度 函数

那么遇到过滤时 我们可以用 编码转换 空格 大小写 还有加密这个xss代码 来绕过 同时还可以利用审查元素来怼

大小写然后空格也可以看他限制什么我们就针对什么

针对长度限制 还有url伪装 想要精通xss 就必须会html和javascript js

储存型:

首先先注册一个XSS平台

例如:https://

最低0.47元/天 解锁文章
F_i_n_n
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss攻击语句大全。。
04-16
网站安全测试。。xss漏洞。。免去你输入的麻烦。可以直接复制粘贴。。
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击-运维安全详细笔记
xss跨站脚本攻击笔记
最新发布
weixin_45653478的博客
04-10 1370
Cookie是一些数据,存储于你电脑上的文本文件中。当web服务器向浏览器发送 web页面时,在连接关闭后,服务端不会记录用户的信息。Cookie的作用就是用于解决“如何记录客户端的用户信息": (1)、当用户访问web页面时,他的名字可以记录在cookie中。(2)、在用户下一次访问该页面时,可以在cookie中读取用户访问记录。Cookie以键值对形式存储,如下所示: username=John Doe 当浏览器从服务器上请求web页面时,属于该页面的cookie 会被添加到该请求中。
xss攻击笔记
idooooo的博客
07-19 264
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。DOM型的XSS由于其特殊性,常常被分为第三种,这是一
XSS攻击-学习笔记
qq_18252435的博客
11-09 204
什么是XSS攻击 XSS 攻击 使用的是 JavaScript 脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 XSS攻击分类 第一、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 第二、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳...
XSS攻击学习笔记
长源的博客
08-08 766
教程:http://edu.51cto.com/course/5733.html 进行XSS攻击时,常用的HTML标记:&lt;script&gt;&lt;/script&gt;、&lt;iframe&gt;&lt;/iframe&gt;、&lt;img /&gt;  
渗透笔记手册.rar
02-06
笔记,都是文档类笔记,分享出来。包含了从程序语言各种语法的渗透技巧,还有一些攻击手段的手册(比如XSS、注册表、SQL注入等),还有一些案例,包括渗透中怎么寻找突破点。
网络安全学习笔记包含sql注入,ssh暴力破解,web漏洞扫描,xss扩展攻击,文件上传攻击等
11-27
网络安全学习笔记包含sql注入,ssh暴力破解,web漏洞扫描,xss扩展攻击,文件上传攻击等
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” ...
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
12-19
浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF 前言: 首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以...
搜索框——不能忽视的XSS漏洞—搜索框所引起的XSS漏洞
06-12
我刚入行的时候做过一个小小的页面工具,其中有一个步骤是把一些代码输出到页面上,当时我用的是php做的,写了个for循环,读取每一行的内容,然后echo出来。但是我发现页面排版老是那么的乱,怎么缩进都没有了?有一些代码还显示不出来?这太让我纳闷了,于是问一个学长是怎么一回事,他说:“当然啦,你输出的内容被浏览器解释过后的样子就是这样子的了,比如说你的空格浏览器是不承认的,你要输出空格就得用nbsp; ……”这时我才反应过来:“哦,原来如此……”。那时我才知道,在html的输出上代码和内容还是得程序员自己去区分的。
【学习笔记xss攻击解读
chualam的博客
08-23 150
反射型XSS:经过后端,不经过数据库 储存型XSS:经过后端,经过数据库 DOM XSS:不经过后端和数据库,基本可以归类为反射型XSS 挖掘方式: 1)直接提交输入框 2)关注HEADER部分 3)URL提交 4)输入框闭合引发XSS ...
前端Hack之XSS攻击个人学习笔记
weixin_30413739的博客
03-22 293
简单概述 ** 此篇系本人两周来学习XSS的一份个人总结,实质上应该是一份笔记,方便自己日后重新回来复习,文中涉及到的文章我都会在末尾尽可能地添加上,此次总结是我在学习过程中所写,如有任何错误,敬请各位读者斧正。其中有许多内容属于相关书籍、文章的部分摘取,如有侵权,请联系我修改。(asp-php#foxmail.com) ** 1) 什么是XSS? XSS(Cros...
XSS跨站脚本攻击读书笔记
ouap0909629的专栏
03-02 1679
XSS跨站脚本攻击原理你懂吗??
XSS笔记
公众号shadow sock7
07-25 343
设置php服务端脚本 $ cat index.php [3:06:29] &amp;amp;lt;?php session_start(); echo $_GET['x']. &amp;quot;\n&amp;quot;; echo '&amp;amp;lt;script&amp;amp;gt;location.href = &amp;quot;//127.0.0
XSS攻击
letterTiger的博客
07-28 1361
XSS全称叫做Cross Site Scripting(跨站脚本攻击),之所以不叫CSS是应为和层叠样式表重名(CSS)。 被攻击的原因就是执行了非本站的脚本,该脚本有无边恶意,会盗取用户信息(cookie等登录信息,页面上的其他一切信息)。 XSS攻击又被分为两种,一种是反射型,另一种是存储型。 反射型指的是攻击脚本并没有存入网站数据库,而是隐藏在链接中,通过连接传播。只要用户点击了链接就...
2021年3月1日学习笔记xss攻击笔记
qq_31910395的博客
03-01 210
​ 学习springboot时遇到防范xss的提示,查询了一下xss攻击:https://zhuanlan.zhihu.com/p/26177815 ​ xss攻击就是攻击者恶意上传一段前段脚本代码,其他用户的浏览器在解析过程中误将其执行,从而采取的攻击,有sql注入的味道。 例如: ​ 有一个留言板界面显示所有用户的留言,有一个恶意用户留言上传了一段代码<script>alert('you are attacked')</script> 那么其他用户访问该留言板时,就会出现如下情况
xss cookie劫持
07-25
回答: XSS(跨站脚本)Cookie劫持是一种攻击技术,攻击者通过在网站中插入恶意代码,当用户访问带有恶意代码的网站时,会将用户的Cookie发送给攻击者。攻击者获取到用户的Cookie后,可以使用该Cookie进行登录。\[1\]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值