XSS基础

最新推荐文章于 2023-12-20 17:26:29 发布
最新推荐文章于 2023-12-20 17:26:29 发布
阅读量221 收藏
点赞数
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50613938/article/details/121107711
版权

在这里插入图片描述
Xss是一个前端漏洞,js情况下通过接受到传输数据进行了js的编码
他的危害条件也是和js能执行的权限有关

后门
1、什么是后门,哪些又是后门

攻击者在成功进行非法入侵以后,会留得一个文件便于进行下一次的进攻,这个文件就是后门。

后门可能是寄于网站、服务器、文件。控制网站

2、后门在安全测试的实际意义

1.方便下次进攻 2.提供攻击通道

3、关于后门的需要了解哪些(玩法、免杀)

玩法(目的更好的隐藏自己、或者直接控制网站)、免杀(检测到后门、防止相关东西检测到后门)。
在这里插入图片描述
其实就是dom直接就没经过后面,从前端直接过去的
Cookie存在浏览器,session存在服务器,就像钥匙和锁在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
搭建的内部局域网外网应该是无法访问的
不过我们用它来访问自己局域网里的文件来用还是不错的
就比如搞一个js文件,然后用xss语句来访问js,获取cookie在这里插入图片描述

落夜雨
关注
XSS.基础
newlife1441的博客
07-26 1077
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息,本文将介绍XSS的两种类型,反射型跨站脚本攻击、DOM型和存储型跨站脚本攻击的示例和基本原理;
xss基础
04-02 188
0x0 定义 总结: (1) 在页面显示 (2) 用户可控 满足以上两点就有可能存在xss 0x1反射型 0x2存储型 0x3 DOM型 与反射型相似 也是从get等参数传参 但 反射型传参,接受者是后端,输出到前端 DOM型是,前端js直接拿到参数输出到前端,未经过后端 0x...
XSS 基础介绍
最新发布
the_biggest_baby的博客
12-20 1824
XSS, 跨站脚本漏洞,英文全称 Cross Site Script,是一种能够让黑客通过“”篡改网页,向其中插入(一般为 JS 代码),从而在用户浏览网页时,控制用户浏览器的安全威胁,也是一种类型的注入漏洞。在一开始,利用 XSS 进行攻击的演示案例是跨域的,所以叫做“跨站脚本”,不过现在 JavaScript 的功能日益强大、网站前端也愈发复杂,是否跨域也已不重要了。
xss基础知识点
weixin_52776876的博客
07-27 2256
​跨站脚本攻击,英文全称CrossSiteScript.​xss攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本.从而在用户浏览网页时,控制用户浏览器的一种攻击.
MYSQL与SQL注入和XSS基础
weixin_65695770的博客
04-07 3981
MYSQL与SQL注入 mysql知识点- 基本查询语句 查询表中全部信息: select *from 表明-关键的函数 select+以下语句 version() 数据库版本 database() 数据库名 user() 用户名 current_user() 当前用户名 system_user() 系统用户名 @@datadir 数据库路径 @@version_compile_os 操作系统...
WEB安全基础-XSS基础
IT1995的博客
01-18 5123
XSS漏洞   XSS:Cross Site Script(跨站脚本)为了不与css混淆,就取了XSS 危害:盗取用户信息、钓鱼、制造蠕虫等。   XSS实际上是一种注入,是一种前端语言的注入。 概念:黑客通过“HTML注入”篡改网页,插入恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。 钥匙=Cookie   XSS分类 1.存
XSS入门基础
zjsfdx的博客
01-11 347
一、XSS的入门与介绍 什么是跨站脚本攻击? 是一种注入式的攻击方式XSS的成因对于用户输入没有严格控制而直接输出到页面 对非预期输入的信任 XSS的危害盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号 窃取数据 非法转账 挂马 … 二、常规XSS的分类 存储型(持久型) 反射型(非持久型) - DOM型 DOM型也属于反射型的一种,不过比较特
OWASP TOP 10
weixin_45515936的博客
04-01 343
OWASP TOP 10 13年版已升级-2017版本 参考: https://blog.csdn.net/wang_624/article/details/89683571?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522159198134219725211934408%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=15919813
XSS基础知识
AmyBaby00的博客
09-29 748
XSS原理 XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。 它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。 在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 XSS攻击的主要目的则是,想办法获取
XSS入门
ByeBye(野蛮生长)
04-18 363
1、攻击原理:恶意浏览者构造巧妙的脚本恶意代码 通过网站功能存入到网站的数据库里面,如果程序没有经过过滤或者过滤敏感字符不严密就直接输出或者写入数据库,合法用户在访问这些页面的时候 程序将数据库里面的信息输出, 这些恶意代码就会被执行。 2、XSS漏洞的分类 本地利用漏洞,这种漏洞存在于页面中客户端脚本自身; 反射式漏洞,这种漏洞和类型A有些类似,不同的是Web客户端使用Server端脚...
XSS基础——xsslabs通关挑战
weixin_53284312的博客
02-18 3244
xss基础——xsslabs 闯关
XSS入门学习
树木常青的博客
05-02 269
在BUU上看到这个靶场,想下载下来练练,然后发现自己XSS学的真的垃圾,第三关之后几乎是照着wp做。关于XSS-Labs的通关教程网上有很多,自己再写一遍也没太大意义,不过还是把学到的知识点记录一下吧。第一次用Markdown,不太熟。(大佬请略过) 一.常用XSS标签 //弹窗 <script>alert(9)</script> <img src=@ onerror=alert(0)> <a href=@ onclick=alert(0)>xxx&l
web安全:XSS基础知识点
平平无奇
08-12 308
1.安全三要素:机密性,完整性,可用性 2.提高安全的方式 黑白名单:跨域设置 最小权限:root、sudo 数据与代码分离原则:注入 不可预测性:比如文章的id不要连续,应该随机;token随机;win系统的DEP机制 网站用户loginID与用户的nickname分开,保护用户id 3.恶意URL钓鱼网址检测:https://www.phishtank.com/index.php 4.CSP机...
XSS学习笔记(入门篇)
Chris Lee
01-16 985
最近的学习速度挺快的,对于寒假的计划是对于各种知识点都了解大概并且基本懂得原理,在开学之后对相关书籍深入研究! 这里我就先总结下几个XSS应用的例子吧。 一.利用&lt; &gt;标记注射html / javascript 如果可以随心所欲引入&lt; &gt;标记,那么就可以通过script输入有javasript编写的恶意脚本代码。 eg:&lt;script&gt;alert("你...
Web安全学习篇——XSS基础知识
Venscor技术养成之路
10-28 2131
之前一直都是做的Android客户端安全,也发现了一些安全问题。但后来,渐渐觉得Android App层安全,尤其是偏上层的安全,往往利用条件比较鸡肋,即使是危害比较大的漏洞。所以从今天起,基本放弃App层上层漏洞挖掘工作,后面像两个方向发展,一是Android App的逆向和加固技术,二是web安全。先从web安全开始!本篇记录XSS基础知识学习过程。一、XSS分类XSS漏洞分成三类,反射型XSS
渗透测试 ,XSS基础知识
07-23
以下是关于 XSS基础知识: 1. XSS 的原理:XSS 攻击利用了网站对用户输入的信任,攻击者将恶意脚本注入到网页中,当用户浏览该网页时,恶意脚本会在用户的浏览器中执行,从而达到攻击的目的。 2. XSS 的分类:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值