XSS中Shellcode概念

Shellcode:最初是溢出程序和蠕虫病毒的核心,实际上是指利用一个漏洞时所执行的代码。在XSS中,是指由JavaScript等脚本编写的XSS利用代码。
Exploit:意思是“漏洞利用”表示一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。
Poc:Proof ofConcept,是一段证明漏洞存在的程序代码片段,一般出现在漏洞报告中,是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。
CVE漏洞编号,CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露,如CVE-2015-0057。如果在一个漏洞报告中指明的一个漏洞,有CVE名称,就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
可以在https://cve.mitre.org/网站根据漏洞的CVE编号搜索该漏洞的介绍。
也可以在中文社区http://www.scap.org.cn/上搜索关于漏洞的介绍。

Shellcode一般直接写入页面中执行,但是实际中会有服务器端的过滤过对输入的一些限制等,所以攻击者往往把Shellcode写到远程服务器上,然后利用<script>等标签对其进行调用,或者使用一些本地存储对象对其进行存储和调用。如运用基于DOM的方法穿件和插入节点、利用XSS downloader下载器、利用windows.location.hash属性等,把脚本或HTML注入到网页。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值