【渗透测试-web安全】XSS注入

最新推荐文章于 2024-09-07 15:12:23 发布
最新推荐文章于 2024-09-07 15:12:23 发布
阅读量797 收藏 1
点赞数
分类专栏: 网络安全 文章标签: XSS 存储型 反射型 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/harry_c/article/details/102481500
版权

【渗透测试-web安全】XSS注入

基本分类

存储型XSS
反射型XSS
DOM型XSS

存储型XSS

黑客在前端写入XSS到数据库–>用户进行web访问–>向服务器请求数据–>返回带XSS脚本的数据–>前端出发XSS
注意事项:一般通过将携带XSS的数据写入到数据库中,比如留言功能中构造对应的XSS,或者通过其他的形式写入XSS内容到数据库中
例:

<img src=a onerror=alert(/XSS/)>

反射型XSS

黑客通过邮件或聊天工具给目标发送携带XSS脚本的链接–>用户访问链接–>浏览器请求数据–>服务器将携带XSS注入的数据写入到相应页面返回数据–>浏览器渲染返回的数据触发对应的XSS
注意事项:主要通过构造XSS链接
例:

localhost:8088/test.php?name=testxss<img src=a onerror=alert(/XSS/)>

DOM型XSS

用户主动访问携带XSS的链接–>通过前端将js脚本写入到DOM–>前端渲染触发XSS
注意事项:主要也是通过构造XSS链接,但是构造的是在#号后面,所以不会返回到数据库
例:

localhost:8088/test.html#Filedxss<img src=a οnerrοr=alert(/XSS/)> 
# 登录失败是可能会产生 后面的Filed提示就可以构造DOM XSS注入

总结

XSS类型

存储型

反射型

DOM型

触发过程

1、黑客注入  2、用户访问

用户访问带XSS注入的链接

用户访问带XSS注入的链接

数据存储

数据库

URL

URL

输出工具

后端WEB

后端WEB

前端JS

输出位置

HTTP响应

HTTP响应

动态构造的DOM

Just_Do_Eat
关注
专栏目录
渗透测试--xss
酷狗直播-锦凡歆的博客
12-22 747
作者: 锦凡歆在‘来疯’直播唱歌最好听 跨站脚本攻击 XSS 漏洞概述 - 简介 XSS 作为OWASP TOP 10 之一, XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascrip...
xss简单渗透测试
weixin_30244889的博客
02-14 207
xss简单渗透测试 xss简单渗透测试 Write by admin in未分类at 2009-07-27 11:13:24 xss简单渗透测试 Author: jianxin [80sec]EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2008-12-24From:http://w...
XSS和sql注入部分场景测试用例样例
最新发布
m0_37570494的博客
09-07 702
XSS 攻击通常是通过输入字段插入恶意的 JavaScript 代码,试图执行客户端脚本。设计这些测试用例时,需要涵盖常见的 XSS 攻击手段。SQL 注入攻击通常通过在输入字段中插入恶意 SQL 代码,试图操纵数据库查询。设计这些测试用例时,需要涵盖各种常见的 SQL 注入技术。
xss渗透测试
weixin_34227447的博客
01-06 638
跨站脚本攻击:cross site script execution(通常简写为xss,因css与层叠样式表同名,故改为xss),是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式,很多人对于xss的利用大多停留在弹框框的程度,一些厂商对xss也是不以为然,都认为安全级别很低...
渗透测试XSS
Zane·S的博客
04-29 721
XSS漏洞原理 XSS攻击可以分为三种:反射存储和DOM 反射 XSS 反射XSS又称非持久XSS ,这种攻击往往具有一次性。 攻击方式:攻击者通过电子邮件等方式将包含 XSS 代码的恶意链接发送给目标用户; 当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有XSS代码的数据发送给目标用户的浏览器; 浏览器解析这段带有XSS代码的恶意脚本后,就会触发X...
web渗透-xss
weixin_56319791的博客
10-09 961
xss漏洞
XSS注入测试
热门推荐
u012114090的博客
07-16 4万+
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。   XSS ...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
03-23
【标题解析】 “xsser_platform”是一个与Web安全相关的项目...通过深入学习和实践xsser_platform的源代码,不仅能够增强对XSS攻击的理解,还能提升在Web安全领域的技能,同时为自己的安全测试工具箱增添一个实用工具。
WEB渗透学习-XSS-labs靶场
04-20
它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个专门针对XSS的学习平台,为网络安全从业者和新手提供了丰富的练习场景,帮助他们深入理解和掌握这种攻击手段。 XSS-labs设计了...
渗透测试-XSS
SK1ng的博客
10-03 2676
XSS 原理 XSS 即跨站脚本攻击(Cross Site Script),通过构造代码(JS)注入网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段浏览器代码,也就是用户被攻击了 微博、留言板、聊天室、订单等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 攻击的风险,只要没有对用户的输入进行严格的过滤,就会被XSS 攻击 危害 盗取各种用户账户 盗取用户Cookie资料,冒充用户身份进入网
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-2)XSS注入相关面试题
qq_51577576的博客
11-22 1078
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-2)XSS注入相关面试题 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞XSS注入方向的面试题。 如果整个系列的问题搞懂了大部分,那找个网安方向的工作基本上没什么问题了。 当然了,可能也不是说这些问题都会被问到,但这些题目都是和网安岗位相契合的。
XSS渗透测试
m0_51426816的博客
02-25 795
渗透测试基本原理:依据渗透策略生成攻击向量,提交给Web服务器,然后根据Web服务器返回的网页来判断相应的检测点是否存在XSS漏洞 一.渗透策略 渗透策略规定了向Web服务器提交的内容,并根据Web服务器的返回信息来决定下一步的提交方案 流程: 二.合法字符串测试 Web服务器对检测点所提交的内容做不同的处理,并返回不同的网页,根据对返回网页的分析,排除掉不可能存在XSS漏洞的检测点,从而提高检测效率 三.攻击向量测试 模拟浏览器提交表单的过程向检测点注入攻击向量。根据action、method、type
渗透测试实验 XSS和SQL注入
m0_75136783的博客
12-25 1011
如果有某个Web应用程序的功能是负责将用户提交的数据存储到数据库中,然后在需要时将这个用户提交的数据再从数据库中提取出返回到网页中,在这个过程中,如果用户提交的数据中包含一个XSS攻击语句,一旦Web应用程序准备将这个攻击语句作为用户数据返回到网页中,那么所有包含这个回显信息的网页将全部受到XSS漏洞的影响,也就是说只要一个用户访问了这些网页中的任何一个,他都会遭受到来自该Web应用程序的跨站攻击。可以将SQL命令人为的输入到URL、表格域,或者其他一些动态生成的SQL查询语句的输入参数中,完成上述攻击。
渗透测试xss
weixin_45754647的博客
05-27 178
一、 二、xss分类 1、反射xss,经常发生在搜索框 2、存储xss,经常发生在留言板 3、 4、 5、 6、 7、
Web渗透测试xss漏洞)
weixin_30838921的博客
03-08 730
Xss介绍—— XSS (cross-site script) 跨站脚本自1996年诞生以来,一直被OWASP(open web application security project) 评为十大安全漏洞中的第二威胁漏洞。也有黑客把XSS当做新的“缓冲区溢出攻击”而JavaScript是新的shellcode。2011年6月份,新浪微博爆发了XSS蠕虫攻击,仅持续16分钟,感染用户近330...
XSS注入
bossDDYY的博客
07-26 1790
XSS注入
WEB安全深度解析:XSS攻击与SQL注入渗透测试
"该文档主要介绍了SQL注入XSS跨站脚本攻击,以及相关的渗透测试方法。内容包括SQL注入的原理、攻击特点、影响范围、危害和测试方式,同时也提及了XSS攻击的详细解释。" 在网络安全领域,XSS(Cross Site ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值