XSS的原理分析与解剖常见问题
xss能做什么:
盗取Cookie(用的最频繁的)
获取内网ip
获取浏览器保存的明文密码
截取网页屏幕
网页上的键盘记录
xss类型:
反射型XSS (你提交的数据成功的实现了XSS,但是仅仅是对你这次访问产生了影响,是非持久型攻击)
存储型XSS (你提交的数据成功的实现了XSS,存入了数据库,别人访问这个页面的时候就会自动触发)
DOM型XSS (比较复杂,我们后面会专门会说)
**怎么检测是否存在XSS?**
直接输入最经典的弹窗语句:
**`<script>alert(1)</script> `**
一般正常的页面传参构建参数 让它弹窗就是存在XSS
1.xss的本质是什么
我们的传参被拼接进HTML页面,并且被执行。
2.xss如何执行
通过拼接恶意的html代码,js语句来执行攻击,实际上为html代码注入
3.xss作用
盗用cookie,得到内网ip,获取保存的密码等
4.如何检测xss
通过一个经典语句弹窗检测
5.xss还可以通过什么来执行
通过事件,伪协议来执行
6.伪协议是什么
一种不同与真实协议的协议,只有关联应用才可以用(例如:javascript:alert(1))
7.事件是什么
这里的事件就是指js事件,通过之歌js事件来执行 例如