本文深入解析XSS跨站脚本漏洞,包括基础概念、分类(反射型、存储型XSS)、危害(如cookie窃取、会话劫持)以及JavaScript在XSS中的作用。同时介绍了火狐的XSS调试插件和防范措施。
挖到XSS漏洞可以挖到cookie(储存在用户本地终端上的数据),也可找到后台地址。
难点:挖掘中的 闭合 和 绕过
内容大纲
1.XSS漏洞基础讲解;
2.XSS漏洞发掘与绕过;
3.XSS漏洞的综合利用。
一·认识XSS
最大特点:能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的。
二·什么是跨站脚本
是一种经常出现在Web应用程序中的计算机安全漏洞,是由于web应用程序对用户的输入过滤不严而产生的。攻击者利用网站漏洞恶意把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采用cookie资料窃取,会话劫持,钓鱼欺骗等攻击手段。
三·XSS脚本实例
<html>
<head>xss test</head>
<body>
<script>alert("xss")</script>
</body>
</html>用V S Code打开后
这段代码使用alert函数来执行打开一个消息框,消息框中显示xss信息,
使用xss弹出恶意警告框,代码为:
<script>alert("xss")</script>xss输入也有可能是html代码段,如果使网页不停的刷新,代码:
<meta http-equiv="refresh" content="0;">嵌入其他网站链接的代码:
<iframe src=http://cracer.com width=0 height=0></iframe>四·xss的危害
1.网络钓鱼,包括盗取各类的用户帐号
2.窃取用户cookie
3.窃取用户浏览会话
4.强制弹出广告页面、刷流量
5.网页挂马
6.提升用户权限,进一步渗透网站
7.传播跨站脚本蠕虫
等。
五·JavaScript简介
一种直译式脚本语言,是一种动态类型、弱类型、基于原型的语言。
网页上使用,用来给HTML网页增加动态功能。
六·document对象
最低0.47元/天 解锁文章
扫一扫
520
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
