WEB安全测试-XSS(一)

最新推荐文章于 2024-07-01 14:52:34 发布
最新推荐文章于 2024-07-01 14:52:34 发布
阅读量235 收藏
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36583958/article/details/114960081
版权

 

 

存储型XSS:你发送一次带XSS代码的请求,以后这个页面的返回包里都会有XSS代码;反射型XSS:你发送一次带XSS代码的请求,只能在当前返回的数据包中发现XSS代码;DOM型XSS:你发送一次带XSS代码的请求,在返回包里压根儿就找不到XSS代码的影子;只有在动态运行或调查网页的dom树时才能观测到dom xss。

本篇主要记录一下我这个小白针对存储型XSS是如何进行测试。

存储型XSS一般出现在新增功能点,新增一条记录后,针对xss语句在html代码中的输出位置以及系统的防护措施,来构造payload

检查系统是否对XSS常见一些符号做过滤或进行实体编码。

1.首先新增一条记录,包含以下字符:

”;!–”<script></SCRIPT> =&{()}  <> <div> <img>

注意:input输入框和textarea输入框都要尝试一下。

2.F12快捷键打开开发者工具,查看HTML代码。

3.定位到新增记录的HTML代码,鼠标右键-编辑HTML代码,观察对哪些符号做了实体编码。

找系统中xss语句输出的位置

1.在开发者工具中定位到xss语句输出的位置,查看html代码。

2.查看xss语句输出的位置,是在标签属性里 还是在标签里。如果在属性里,需要加"来闭合。

常见绕过

后续更新...

 

 

参考链接

XSS的原理分析与解剖 - FreeBuf网络安全行业门户

人机杀手王皮球
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安全测试-XSS攻击
qq_42008891的博客
03-08 601
XSS攻击概念介绍,常规XSS攻击测试方法,XSStrike工具介绍及常规测试命令
Web安全之XSS
chuxuezheerer的博客
01-20 194
XSS原理 攻击内容 如何防御
安全测试xss \ csrf 攻击)
06-16 394
web安全之xss攻击 xss攻击的全称是Cross-Site Scripting (XSS)攻击,是一种注入式攻击。基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器会无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄漏。(主要 获取cookie信息) xss一般分为两种类型,持久化的xss和非持久化的xss 持久化...
Web安全测试XSS实例讲解
最新发布
软件测试技术交流分享
07-01 954
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
安全测试XSS攻击
weixin_40966030的博客
07-14 384
一、XSS攻击的概念 XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码 二、XSS攻击的现象 2011年新浪就曾爆出过严重的xss漏洞,导致大量用户自动关注某个微博号并自动转发某条微博。 三、XSS攻击的防范 1、首先是过滤。对诸如< img> < script> < a>等标签进行过滤。 2、其次是编码。像一些常见的符号,如<>在输入的时候要对其进行转换编码,这样做浏览器是不会对该标签进行解释执行的,同时也不影响显示效果
安全测试初体验-XSS
一个小测试迈向更高阶的逆袭之路
04-26 476
安全测试
web安全测试xss攻击
热门推荐
谷洪的博客
04-19 4万+
web安全测试xss攻击 软件测试资源分享| 免费软件测试资料一、 背景知识1、 什么是 XSS 攻击?XSS 攻击: 跨站脚本攻击(Cross Site Scripting) , 为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 故将跨站脚本攻击缩写为 XSS。 跨站脚本攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式, 所以...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
Web应用安全:存储型XSS习题(实验习题).docx
06-17
Web应用安全:存储型XSS习题(实验习题).docx
XSS测试平台.zip
08-06
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台
【应用安全之XSS一】XSS攻击测试以及防御
qq_35789269的博客
02-19 6523
跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击实例 下面为一个Input标签: <input type="text" value="value"></input> 当用输入值
xss 安全测试
07-19 290
测试用例:还是挺管用的,真的能发现潜在的bug     &lt;script&gt;alert(document.cookie)&lt;/script&gt;  ='&gt;&lt;script&gt;alert(document.cookie)&lt;/script&gt;  &lt;script&gt;alert(document.cookie)&lt;/script&gt;  &lt;sc
Web安全:XSS漏洞的测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
WEB安全测试XSS
goon202的专栏
12-29 434
看到一篇非常好的关于xss的文章:WEB安全之xss
【网络安全渗透测试入门】之XSS漏洞检测、利用和防御机制XSS游戏(非常详细)零基础入门到精通,收藏这一篇就够了5
Libra1313的博客
06-27 1004
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段XSS第5篇。本阶段主要讲解XSS漏洞检测、利用和防御机制。
web安全性测试——XSS跨站攻击
fengke1813的博客
05-29 3085
一、什么是xss跨站攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 二、如何写xss脚本 ...
揭示Web安全挑战:XSS攻击原理与防范策略
Web安全性测试XSS(Cross-Site Scripting)是一项至关重要的任务,特别是在现代Web应用中。XSS漏洞是一种常见的Web安全威胁,攻击者通过在网页中嵌入恶意客户端脚本,如JavaScript,利用用户浏览器的执行能力来...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值