ctf从入门到放弃:xss的认识 学习笔记 20190502

xss 也称跨站脚本漏洞。
一种web前端的漏洞,危害对象:前端用户。
攻击原理如下:
在这里插入图片描述

常见类型:
1.储存型(危害最大)
2.反射型
3.DOM型(危害较小,主要在前端)

形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导 致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代 码解析执行从而产生危害。

跨站脚本漏洞测试流程

  1. 在目标站点上找到输入点,比如查询接口,留言板等;
    ② 输入一组“特殊字符+唯一识别字符”,点击提交后,查看返回的源码,是否有做对应的处理;
    ③ 通过搜索定位到唯一字符,结合唯一字符前后语法确认是否可以构造执行js的条件(构造闭合);
    ④ 提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞;

TIPS: 1.一般查询接口容易出现反射型XSS,留言板容易出现存储型XSS;
2.由于后台可能存在过滤措施,构造的script可能会被过滤掉,而无法生效,或者环境限制了执行(浏览器);
3.通过变化不同的script,尝试绕过后台过滤机制;

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值