XSS学习总结

已于 2022-06-07 16:57:28 修改
阅读量1.4k 收藏 1
点赞数 2
分类专栏: 漏洞 文章标签: 安全
于 2022-03-28 15:42:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ad12456/article/details/123796481
版权

一:xss测试规范

  • 存储型xss,插入不影响用户正常使用的payload,严禁弹窗,推荐使用console.log() 方法.它用于在控制台输出信息,再通过另一个账号进行验证。对于盲打类xss,仅允许外带domain信息。所有xss测试再测试后要删除插入数据,若不能删除,要在测试报告中注明插入点。

二:xss原理

  1. 原因:开发时,提供给用户搜索关键字来列出搜索结果,页面上显示用户搜索词。比如:如下的url ,‘http://www.xxxx.com/search?find=handsome’,页面展示handsome相关内容。
  2. 产生xss的关键点:
  • 用户提交的数据内容被输入到html页面中
  • 程序没有对用户提交内容做合理的处理,导致用户可以改变原有的html语义或添加新的html语句。
  1. xss类型
  • 反射型:语句通过后端代码处理后直接输出,而且不会对测试语句保存。
  • 存储型:语句通过后端程序处理后保存,且会保存再后端,在访问输入位置时会输出测试语句。
  • DOM型:语句由前端js代码输出,不局限于是否存储(大部分是放射型)
  1. 测试语句
    这些语句在真实环境一般不能直接用,要变形,比如大小写,编码替换,重写等
最低0.47元/天 解锁文章
? Persevere?
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss挑战心得(简单易懂)
xtx4506的博客
03-09 1865
作为一个呢刚刚学习web渗透的小菜鸟,一开始也是在老师的带领下接触到了xss挑战,个人感觉是很经典的题目嗷,以后就会在这里进行再学习了,这两天挑战也是记录了不少,所以希望可以记录下来,菜鸟的自我记录,大神勿喷噢 ---------------------------------------------------------------------------------------------------------------------- level 1 相信不少人和我一样看到...
xss学习总结
weixin_44300286的博客
04-28 195
一、什么是XSS XSS攻击全称跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode...
2024年XSS基础环境及实验演示教程(适合新手)_xxs实验步骤(1),2024年最新真牛皮
最新发布
2401_84297560的博客
05-05 407
花了一点时间,做了一个“XSS基础环境及实验演示教程”,当然教程很简单,适合刚接触和安全行业的小伙伴去认识了解XSS漏洞,并且上手实操。欢迎各位提出问题和作者v一起交流:tomorrow_me-Kali机器:192.168.2.108Windows机器:192.168.2.105为了中间实验过程方便,有时候会利用一台云服务器辅助,实验过程中出现为显示IP的地址或者不为以上两个IP时,均为云服务器。1在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
Xss跨站脚本经验总结Cross Site Scripting
jijithin
03-20 218
最近这段时间我所在的公司让我搞一些有关网络安全方面的东西,其实是有关安全机制方面的工作,现在所做的项目整体已经到了维护的阶段,我所处的项目组现在还在改造,不过遗留了好多bug,特别是有关Xss方面的,(XSS跨站脚本 http://de.wikipedia.org/wiki/XSS或者http://baike.baidu.com/view/50325.htm)。详情请参考以上网址。   1...
xss漏洞学习心得(泪目)
小城的博客
12-02 1637
XSS学习心得大杂烩背景xss的定义xss漏洞的分类xss绕过技巧payload常见的有:绕过payload 背景 领导给了我一些资产让我去测试,发现其中藏有不少的xss漏洞,含泪做一个总结,测试的站实在是太多了。 xss的定义 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞的分类 总的来说分为三种,大家都很熟悉的啦! 分别
2017.4.10 学习记录与感想 (xss、ctf、学习感想)
foolisheddy
04-10 5795
xss ctf 学习感想
xss-vuln学习通关总结
08-24
XSS漏洞详解】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,主要表现为黑客通过注入恶意脚本到网页中,从而在用户浏览网页时控制用户的浏览器。这种攻击最初因为涉及跨域而得名,但随着JavaScript的...
XSS跨站学习总结
05-23
XSS跨站总结,讲的相对比较全。主要有XSS的简介、形成原因、种类、常用攻击手段与目的外加如何挖掘跨站
XSS注入知识点总结.pdf
02-07
该文档是在看网络学习视频总结,从XSS漏洞概述,XSS分类,XSS构造,XSS变形,XSS的利用,XSS的防御进行总结,分章节进行叙述,可作为学习文档。
32个触发事件XSS语句的总结
04-01
32个触发事件XSS语句的总结,新人学习xss必看!
安装xss-labs ppt手册
10-22
为了学习和研究XSS漏洞,XSS-Labs是一个优秀的实践平台,它提供了多种不同类型的XSS挑战,帮助安全从业者提升检测和防御XSS攻击的能力。 **XSS-Labs安装步骤** 1. **下载靶场文件**:首先,你需要找到XSS-Labs的...
XSS简单总结
Aiwin的博客
07-11 988
XSS的简单总结
XSS小结
Solmane的博客
02-13 95
渗透方式:反射型XSS,一般针对个人,过程一般是用户访问服务器-跨站链接-返回跨站代码,恶意代码不会存储在远程web应用程序中,因此需要一些社交工程(例如通过电子邮件/聊天的链接)。 存储型XSS,恶意代码将会存储在数据库中,任何获取对应数据的用户都有可能在本地执行恶意代码。 DOM型XSS,不需要将恶意代码上传,引起客户端脚本执行结果差异的原因是对本地DOM的恶意篡改利用。
xss实验并对注入点、注入语句及危害知识总结
五分之一世纪
03-25 1700
<1>xss的概念 xss的英文名字是cross site script。俗称跨站脚本,是一种注入攻击,指攻击者在被攻击的网页上利用编写时的漏洞注入恶意脚本代码,受害者访问该页面时,恶意代码会在用户的浏览器上执行的攻击方式叫做跨域脚本攻击。看xss的名字——“跨域脚本攻击”,思索名字可以发现“跨域”,那么什么是域?跨了什么域?其实这个域是指域名,在web中规定脚本只能在本域名上的不同路径上的文件中执行,而不能在不同域上执行,这个措施的实现就是根据同源策略。下面先用一个实验对xss的攻击流程做一个
XSS学习总结21篇
qq_45300786的博客
06-18 626
所有的文章都是看源码分析的,但是我这里推荐用抓包工具看输出 这里我要补充一下xss的相关知识(这里非常非常重要,如果连这些都不知道,是很难做xss的) 一、html标签里可以继续写html标签 <p>giegie,我你男朋友不会揍我吧<script>alert(1)</script></p> 二、html元素的属性可以触发事件(https://www.runoob.com/html/html-attributes.html) HTML 属性 HTML 元素可
实验:XSS跨站脚本攻击原理与实践 总结记录
qq_34073852的博客
06-19 2862
111
记一次反射型XSS
剁椒鱼头没剁椒的博客
03-07 619
关于这个反射型XSS,利用的方式除了钓鱼,可能更多的就是自娱自乐,那都说是自娱自乐了,并且对系统也没什么影响,那么这里就记一次真实的反射性XSS利用,当然啦,前面都说了是自娱自乐,不要当着,更多的还是需要存储型XSS或者DOM型XSS。如果不太懂XSS,可以参考我之前写过的一篇XSS攻击详解。XSS攻击详解。
网络攻防-XSS攻击实验
qq_64389397的博客
01-07 1745
1.在传播病毒的同时,将病毒也复制在about me中,这样这段代码就会一直存在,所有访问都在自己的about字段添加这段代码,这样就能一直传第下去。如果不添加If判断,如果时samy自己进入个人简介,也会触发JavaScript代码,但是因为post的about me字段为空,那么这段JavaScript代码将会被清空,所以需要加上这段if判断,这样当当前用户是samy时,不会触发。3.由获取的信息可知,接口的url地址,post提交数据的方式,使用这些信息填入JavaScript框架的对应信息中。
11.11科协作业 xss心得体会
ryhNB的博客
11-11 181
xss题目心得

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值