get方式的xss漏洞利用

最新推荐文章于 2024-09-13 14:09:24 发布
最新推荐文章于 2024-09-13 14:09:24 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43814486/article/details/89305159
版权

原理:后端没有对信息的输入和输出进行处理。提交信息(精心构造的payload)后,页面实质是把信息通过URL传到后台,也就是说,每一次通过浏览器进行这个URL访问的时候都会执行我们刚刚提交的信息(精心构造的payload)攻击流程如下:

在这里插入图片描述

get方式的xss漏洞利用演示:
1.在页面输入我们构造的payload语句,我的是:

<script>alert('hello world!')</script>

效果图:
在这里插入图片描述
提交后:
在这里插入图片描述
2.把URL复制下来,在新页面再次访问这个URL,得到:
在这里插入图片描述
在这里我只是让它弹出一个窗口,同理,通过这个操作我们可以输入不同的payload进行你想做的任何事。但是,现在的一些浏览器的检查机制挺有用的,一般的payload都会被拦截下来:
在这里插入图片描述
所以推荐使用firefox(火狐)浏览器

一点小知识:通过前端对输入框进行限制其实是没用的,可以通过查看前端的代码找到对应的代码进行修改,如图:
在这里插入图片描述

老-男孩
关注
专栏目录
XSS漏洞利用---GET型XSS漏洞获取用户Cookie信息
Ethan024的博客
03-07 1216
** XSS漏洞利用(本文仅供技术学习与分享) ** GET型XSS漏洞获取用户Cookie信息 我们都知道XSS漏洞可以让浏览器弹框,但是不知道有什么实际的危害。下面我用皮卡丘靶场来做实验。 实验准备 皮卡丘平台为存在XSS漏洞平台的站点; 用户正常访问该站点; 攻击者搭建的,以供收集数据的后台(皮卡丘后台预备好了pkxss平台); 实验思路 攻击者在pkxss后台创建一个接收数据的接口; 攻击者在存在XSS漏洞的站点上插入恶意脚本; 正常的用户访问XSS页面,触发脚本;站点随即返回恶意JS的页面给
利用XSS漏洞读取任意文件,get新思路!
weixin_54787877的博客
03-15 3504
简述 网站是一个在线填写报表功能,填写好报表之后可以生成报表的pdf文件 思路讲解 1. 发现解析xss 首先随便输入一个payload,"><S>aaa 。发现输入的标签被解析了 2. 用iframe标签加载,但是没有内容 使用iframe标签,但是没有内容。Id=b9bc3d&utrnumber="><iframe src="http://localhost"></iframe>&date=20 ...
XSS攻击:获取用户的cookie(get方式
weixin_43726152的博客
05-06 4117
关于XSS攻击是什么,想必大家都知道了,今天围绕百度随便找的一张流程图来完成一个获取用户的cookie的XSS实验。 为了和上图数字一致好看些,从序号1开始吧 0x1 用户登入 自行登入。坑自己就可以了,不要坑别人哈。 0x2 找到漏洞点,制作一个危险的url 让前端插入的js是: <script>document.location = 'http://127.0.0.1/pik...
Web安全-XSS
weixin_34212189的博客
11-27 121
XSS的定义 攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和JavaScript脚本)注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取cookie窃取、会话劫持、钓鱼欺骗。 XSS的攻击方式 反射型 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器解析后响应,XSS代码随响应内容一起传回浏览器,最后浏览器解析执行XSS代码。这个过程...
XSS 漏洞检测与利用全解析:守护网络安全的关键洞察
最新发布
bigbangbangbang1的博客
09-13 1094
XSS 漏洞是一种常见的网络安全漏洞,它可以让攻击者在受害者的浏览器中执行恶意脚本,从而窃取用户的敏感信息、篡改页面内容或者进行其他恶意操作。为了检测和防范 XSS 漏洞,我们可以使用手动检测和自动化检测工具,同时采取输入验证和过滤、输出编码、设置 HttpOnly 标志、使用内容安全策略等防范措施。通过这些方法,可以有效地提高网页的安全性,保护用户的敏感信息。
XSS漏洞攻击
qq_57307348的博客
02-17 4351
1、在掌握xss之前,首先要了解什么是html、css、JavaScript。 1)Html:超文本标记语言,是一种用于创建网页的标准标记语言。HTML是一种基础技术,常与CSS、JavaScript一起被众多网站用于设计网页、网页应用程序以及移动应用程序的用户界面。 2)Css:是一种用来为结构化文档(如HTML文档或XML应用)添加样式(字体、间距和颜色等)的计算机语言。 3)JavaScript:相当于更好的实现和用户的交 互,是信息传递实现双向化。 2、同源策略 同源策略是一个重要的安..
XSS
qq_25956141的博客
01-21 1212
1.常见XSS漏洞1--get请求回显漏洞  当我们的网页使用的是get请求的时候,服务器后端将get请求的字符串编码(在浏览器上使用的是encode编码)回显到页面的时候, 如果我们输入的是正常的一段字符,那么,他显示的是一段字符,然而,如果我们输入的是一段html代码呢???那么回显的就是一段html代码,当你的页面允许这样的时候,那么就要注意了,别人可以在你的链接上面加很长一段自己的
XSS漏洞利用方式分析
m0_65096687的博客
10-09 286
通过修改页面的DOM节点形成的XSS,效果跟反射型XSS类似,攻击者在URL中插入XSS代码,前端页面直接从URL中获取XSS代码并且输出到页面,导致XSS代码的执行,攻击者将带有XSS代码的URL发给用户,用户打开后受到XSS攻击。反射型XSS也叫做非持久型XSS,攻击者在URL中插入XSS代码,服务端将URL中的XSS代码输出到页面上,攻击者将带有XSS代码的URL发送给用户,攻击者在页面上插入XSS代码,服务器端将数据存入数据库,当用户访问到存在XSS漏洞的页面时。小于号(
XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 4581
(1)了解beEF工具的使用; (2)加深理解XSS漏洞的利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
XSS漏洞
2401_83181186的博客
04-25 1008
XSS漏洞介绍以及beef,waf简介
SQL+XSS漏洞修复方案
04-13
总之,SQL注入和XSS漏洞的修复需要开发者具备良好的安全意识,并在编程时遵循最佳实践。通过使用预编译语句、输入验证和内容转义,我们可以大大降低这些风险,保护用户的个人信息和系统的完整性。在实际项目中,定期...
pikachu靶场第五关——XSS(跨站脚本)之反射型xss(get)(附代码审计)
yzasts的博客
03-18 1548
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
跨站请求攻击 XSS与CRSF
qq_33135813的博客
02-04 528
1.这2天在熟悉项目框架结构,看到了过滤器中关于XSS跨站请求攻击的过滤器,特意网上查了一下 有关跨站请求攻击的东西.先记录下来所学 所思,省得后面忘了. 2.跨站请求攻击主要分为2种. XSS跨站请求脚本攻击(当用户浏览该页面的时候,代码执行,从而实现攻击目的。对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击) CSRF 跨站请求伪造攻击(危害是攻击者可以盗用你的身份,以你的...
2.5 xss(get)获取cookie信息
千寻的博客
11-20 1187
cookie获取及xss后台 原理 准备环境 主机 网站 Window server 2016 搭建pikachu Window 10 正常的客户 Window server 2008 攻击者搭建的xss后台 环境搭建 第一步 在数据库中创建pkxss数据库 第二步 初始化网站 第三步 初始化成功 第四步 成功访问网站 第五步 登录查看网站信息 http://192.168.232.129/pkxss/xcookie/pkxss_cookie_result.php
Pikachu第二弹:XSS
Pisces_mango的博客
08-14 1771
一、反射型xss(get) 1.输入语句,发现有长度限制,按F12,修改源码字符长度 2.输入语句 3.出现弹窗 二、反射型xss(post) 1.输入账号密码登录 2.登录XSS后台,然后搭建恶意站点 这里是以POST的方式提交的,参数内容不会出现在URL中,这时候我们不能直接把我们的恶意代码嵌入到URL中,我们需要自己搭一个恶意站点,然后在网站上放一个post表单,将存放post表单的链接发送给受害者,诱导受害者点击这个post表单会自动向漏洞服务器提交一个POST请求,实
pikachu反射型xss(get、post)、储存型xss
Resets_的博客
09-05 1059
pikachu反射型xss(get、post)、储存型xss
[ pikachu ] 靶场通关之 XSS (二) --- 反射型 XSS 之 get 型
qq_51577576的博客
01-14 2623
???? 博主介绍 ????‍???? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步! 目录 ???? 博主介绍 一、反射型xss(get) 二、过关: 1. 页面 2. 首先确认一下这个页
XSS注入总结
白帽黑客佳哥的博客
06-04 1024
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。X-XSS-Protection,即XSS保护属性,是设置在响应头中目的是用来防范XSS攻击的。如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。将利用写在自己服务器上,核心是让受害者访问我们的服务器,然后触发别的网站的xss。所有能输入的地方都要试一次,有字数限制的可以在burp里改。里的时候,闭合标签会被当做代码执行。
【WEB漏洞】第三章 XSS(一)
人间体佐菲的博客
09-13 690
XSS漏洞攻击描述
Uber XSS漏洞:利用Cookie进行跨站脚本攻击
在本篇关于Uber XSS漏洞的详细分析文章中,作者分享了他们在2017年春节期间的一项安全发现。Uber的网站存在一个JSONP请求相关的漏洞,主要影响的是https://get.uber.com 页面。攻击者利用了`idrCall`函数中的代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值