xss跨站脚本漏洞

跨站 脚本攻击 ( XSS ) 是安全威胁 一直 比较高 的 web 漏洞 。其最大的特点就是诸如一些html和JavaScript代码到用户的浏览器网页上。

一、分类:

1. Demo型:

DOM 型 XSS 是 基于 DOM 文档 对象模型的一种漏洞,所以 ,受 客户端浏览器的脚本 代码所影响。

2.存储型:

存储型xss一般作用时间比较长而且影响的范围也比较广,如果界面 中的内容过滤不严格,恶意脚本被存储到服务器的网站后台数据库中。当其他用户浏览 该网页时,站点即从数据库中读取用户存入的非法数据,然后显示在页面中,即在受害者的主机的浏览器上执行恶意代码。

3.反射型:

反射型 XSS ,非持久化,需要欺骗用户自己去点击链接才能触发 XSS 代码(服务器 中没有这样的页面和内容),一般容易出现在搜索页面。
它的特点是旨在用户单击时触发,而且只执行一次,非持久化 , 所以称为反射型跨站式脚本。

二 字符绕过:

1、大小写绕过

2、黑名单绕过
在这里插入图片描述

3、触发事件

包括onclick(),oninput(),onerror()等
和网页源代码内标签变化以及这些事件的执行相结合,要不时的查看网页代码变化进行绕过和添加元素进行执行。

4、编码绕过
在这里插入图片描述

三、构造xss脚本

常用html标签:
在这里插入图片描述常用Javascript方法
在这里插入图片描述脚本:
在这里插入图片描述在这里插入图片描述

发布了49 篇原创文章 · 获赞 12 · 访问量 8286
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览