xss漏洞总结

最新推荐文章于 2024-05-31 10:05:54 发布
最新推荐文章于 2024-05-31 10:05:54 发布
阅读量514 收藏 1
点赞数 1
分类专栏: 小迪安全学习日志 文章标签: xss 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61786761/article/details/126157718
版权

1.分类:反射型,存储型,dom型。
    反射型:x=xiaodi->x.php->回包
    存储型:x=xiaodi->x.php->写入数据库->x.php->回显
    dom型:x=xiaodi->本地浏览器静态前端代码->x.php

2.判断是否存在xss漏洞:抓包查看包中的内容是否显示在页面中,即可进行测试。

3.工具:pstman,beef
4.应用场景:留言板,评论区,订单系统,反馈条件等。
5.区分cookie和session:
    cookie:存储在本地,存活时间长,中小型网站使用。
    session:会话,存储在服务器,存活时间段,大型网站使用,无法xss盗取。
6.xss演示:
 选择一个xss平台->选择想要的功能生产语句->进行xss攻击得到cookie->用postman工具登录。
    也可以用一个公网服务器自己手写跨站xss获取cookie的语句。
7.shell箱子反杀:在密码中插入xss,获取箱子后台管理页的cookie->用postman连接。

xss后端代码绕过:
          <script>alert(1)</script>
          "οnclick="alert(1)
          "><a href='javascript:alert(1)'>
可用大小写绕过,双写绕过关键字置空且无循环置空,编码绕过。

xss跨站之waf绕过及安全修复:
绕过:
1.标签语法替换
2.特殊符号干扰
3.提交方式更改
4.垃圾数据溢出
5.加密解密算法
6.结合其他漏洞绕过。

safedog绕过:
跨站测试语句生成的网站:xssfuzzer.com]
自动化工具:xsstrike  ,可以绕waf,强大的fuzzing引擎,支持盲打。
下载:https://github.com/SOmd3v/XSStrike
 

ee .
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
绕过限制查找XSS漏洞
afei001
07-12 226
目录 一、XSS绕过限制 1.绕过magic_quotes gpc 2.HEX编码 3.改变大小写 4.闭合标签 二、扫描XSS漏洞的工具 一、XSS绕过限制 在做渗透测试的时候都有过这样的经历,明明存在XSS漏洞,但是却有XSS过滤规则或者WAF保护导致不能成功利用。 比如输入: <scirpt>alert("hi")</script> 会被转换为: <script>alert(>xssdetected<)...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
如何寻找XSS漏洞
06-10
1. 传统的跨站脚本攻击(XSS) 2. 跨平台客户端的安全隐患
XSS注入知识点总结.pdf
02-07
该文档是在看网络学习视频总结,从XSS漏洞概述,XSS分类,XSS构造,XSS变形,XSS的利用,XSS的防御进行总结,分章节进行叙述,可作为学习文档。
xss语句构造.docx
01-02
通过平常工作总结,整理出常用的构造xss语句的方法,包括常见的大小写绕过,双写绕过,空格代替,事件的使用
XSS原理分析与解剖及反射XSS
qq_68233961的博客
08-21 503
XSS原理分析与解剖及反射XSS
跨站脚本攻击(XSS)分类介绍及解决办法
热门推荐
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全
web-攻击用户】(9.1.3)查找并利用XSS漏洞--反射
08-27 711
【查找并利用XSS漏洞反射
怎么查找xss漏洞_如何查找和利用XSS
weixin_26722031的博客
08-24 1989
怎么查找xss漏洞 重点 (Top highlight)An article for newbies! (as requested) 面向新手的文章! (按照要求) This article is for the newbies who are asking me to write this. Of course there are pro’s everywhere. You may not w...
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
XSS漏洞的原理
孤的博客
10-30 2855
简介 xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 攻击者往Web页面里插入恶意html标签或者javascript代码。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;...
XSS高级培训班 Z
09-17
XSS高级培训班 黑客防线 XSS漏洞利用方法 XSS高级培训班教程 大商业视频教程 › 第八课] 类转换.rar [第二课]逍遥留言板代码分析.rar [第九课]本地构造表单来突破限制.rar [第六课]注册用户的一些信息过滤不...
网站安全漏洞的产生分析、处理总结
04-21
一:网站程序存在的漏洞 1. 注入漏洞 2. 上传文件格式验证不...8. XSS漏洞骗取cookies得到后台权限 9. 任意文件下载漏洞 10. 远程包含漏洞 11. 使用未加密的cookies进行用户权限等级及权限验证 12. session被构造欺骗
xss跨站攻击详讲 | 如何利用xss拿下一个站?
向阳-Y.的博客
11-13 1万+
1.初识xxs跨站漏洞xss能干什么? 利用xss获取对方后台地址、cookie信息,得到cookie和后台地址后,能通过相关工具(比如postman)进行后台登录: 其他补充: cookie :一般用于小中网站,一般存储在自己电脑上,存活时间较长 session:采用会话模式,一般用于大网站,一存储在服务器上,存活时间较短 2.xss的类 2.1反射 当在网页插入下列xss代码后,会立即回馈到屏幕,但这条xss代码并不会一直存储到该网站上 <script>alert(1)&
反射XSS实验(1)
m0_63306943的博客
11-08 776
安全知识分享
教大家如何找XSS漏洞并且利用
liuhyusb的博客
06-19 1470
cross sitescript跨站脚本攻击,为了避免和css重复,就叫XSS了,是客户端脚本安全中的头号大敌。
网站遭遇XSS注入如何排查及解决
weixin_54232686的博客
05-04 1200
预防XSS注入及解决
XSS 攻击是什么?怎么验证是否有XSS攻击漏洞
赵先森
08-28 1421
XSS 攻击是什么?怎么验证是否有XSS攻击漏洞
【杂记-浅谈XSS跨站脚本攻击】
最新发布
叫我小虎就行了的博客
05-31 537
【杂记-浅谈XSS跨站脚本攻击】
xss漏洞 pikachu
08-13
XSS漏洞是一种Web应用程序中常见的安全漏洞,它允许攻击者将恶意代码注入到受信任的网页中,从而实施各种攻击,例如窃取用户的敏感信息、会话劫持等。在文章中引用的内容提到了关于Pikachu靶场的XSS漏洞学习总结和详解。Pikachu靶场是一个针对XSS漏洞进行训练和测试的平台,它提供了不同级别和类XSS漏洞供用户学习和实践。文章中列举了许多关卡,涵盖了反射XSS、存储XSS、DOMXSS等不同类XSS漏洞。此外,还提到了DOM-X危害更大,因为它可以在URL中体现,将URL发给受害者就能进行攻击的特点。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Pikachu靶场之XSS漏洞详解](https://blog.csdn.net/m0_46467017/article/details/124747885)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ee .

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值