XSS简易了解与测试

最新推荐文章于 2024-07-10 16:45:42 发布
最新推荐文章于 2024-07-10 16:45:42 发布
阅读量2.2k 收藏 5
点赞数 1
文章标签: xss web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53065516/article/details/123509940
版权

XSS

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

一:XSS是什么

XSS是跨站脚本攻击,它真正的缩写是CSS,但为了与层叠样式表CSS混淆,简称为XSS
要了解到,他的原理就是它可以使得攻击者向网页中注入恶意代码,导致用户浏览器在加载网页,渲染HTML文档时会执行攻击者的恶意代码
本文主要对XSS进行一个了解,以及进行一些实战操练。

二、XSS包含类型以及攻击原理

1:类型

包含反射型 存储型 以及DOM型

2:攻击原理

2.1:反射型:

反射型XSS 也被称为 非持久性XSS,是最容易出现的一种XSS漏洞。当用户访问一个带有 XSS 代码的 URL 请求时,服务器端接收数据后处理,然后把带有 XSS 代码的数据发送到浏览器,浏览器解析这段带有 XSS 代码的数据后,最终造成 XSS 漏洞。这个过程就像一次反射,故称为 “反射型XSS”。

2.2:存储型:

又称为持久性xss。允许用户存储数据的 Web 应用都可能会出现存储型XSS漏洞,当攻击者提交一段XSS代码后,被服务器端接收并存储,然后不经过过滤或净化就显示给其他用户,这时候就会出现存储型XSS。并且存储型xss不需要用户手动去触发。

2.3:DOM型:

这一种XSS,触发XSS的是浏览器端(即客户端)的DOM解析
DOM就是文档对象模型。DOM通常用于代表HTML、XHTML和XML中的对象。使用 DOM 可以允许程序和脚本动态地访问和更新文档的内容、结构和样式。

三、类型简易演示(结合他们的原理理解)

1.反射型XSS

在这之前我测试了一个语句并没有成功,这里一个是代码问题,一个是DVWA的级别要调一下。
首先,DVWA调至低安全级别,然后输入语句进行测试一下

在这里插入图片描述
然后测试是否存在xss漏洞

<script>alert('XSS')</script>

在这里插入图片描述
这里有这个xss页面,则存在xss漏洞。然后要拿到当前页面的cookie

<script>alert(document.cookie)</script>

在这里插入图片描述

然后出现PHPSESSID=
这时用这个cookie去登录DVWA

2.存储型

注入XSS攻击代码,这样所有的其他用户只要点击到这个位置就会执行XSS的代码

在这里插入图片描述

在这里插入图片描述
在这里,我更换浏览器,再次登录点击XSS(stored)的时候,会自动弹出窗口。意味着,这个用户,会直接中招。
在这里插入图片描述
这样的攻击方式,简单高效,不必通过一些社工诱导用户点击某个链接,而是直接中招

summcer
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 780
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是指web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
XSS攻击检测
01-22
XSS攻击检测代码,删除bin生成的class,直接使用src加载.java 就好了,开发采用的myeclipse,使用其他工具的注意修改,
Web安全XSS漏洞的测试(防止 黑客利用此漏洞.)
热门推荐
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
【网络安全渗透测试入门】之XSS漏洞检测、利用和防御机制XSS游戏(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
韩束一叶子
07-10 1135
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段XSS第5篇。本阶段主要讲解XSS漏洞检测、利用和防御机制。
web安全测试xss攻击
weixin_30666753的博客
06-27 646
一、 背景知识 1、 什么是 XSS 攻击? XSS 攻击: 跨站脚本攻击(Cross Site Scripting) , 为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 故将跨站脚本攻击缩写为 XSS。 跨站脚本攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式, 所以容易被忽略其危害性。 其原理是攻击者在网页中嵌入...
测试xss
cpongo881
01-22 218
&lt;iframe src="https://blog.csdn.net/weixin_44063566/article/details/85649446" name="conso le.log(document.domain);console.log(document.cookie);"&gt;&lt;/iframe&gt; &lt;a href="http://118.24.104.59/x...
适用于asp.net以及IIS服务器测试的网站源码(含有xss以及sql注入漏洞)
05-25
【标题】"适用于asp.net以及IIS服务器测试的网站源码(含有xss以及sql注入漏洞)" 提供了一个用于网络安全实践和IIS服务器配置验证的环境。这个资源包含了一个带有XSS(跨站脚本攻击)和SQL注入漏洞的ASP.NET网站源...
智商简易测试源代码 -ASP源码.zip
12-16
标题中的“智商简易测试源代码 - ASP源码.zip”表明这是一个使用ASP(Active Server Pages)编程语言编写的智商测试应用程序的源代码包。ASP是一种由微软开发的服务器端脚本环境,用于创建动态网页和Web应用程序。源...
简易网页编辑与生成系统设计与实现.zip
10-19
七、测试与部署 1. 单元测试:确保每个模块功能正常。 2. 集成测试:验证各模块间协同工作。 3. 系统部署:上线前的环境配置,如服务器选择、域名绑定、SSL证书等。 这个简易网页编辑与生成系统的设计与实现是一个...
ASP简易网络存储系统的设计与实现(源代码+论文).rar
10-24
ASP简易网络存储系统的设计与实现是一项常见的毕业设计项目,它主要利用ASP(Active Server Pages)技术构建一个在线的文件存储平台。在这个系统中,用户可以上传、下载、管理自己的文件,实现了基本的网络云存储...
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
XSS检测原型系统
08-31
XSS攻击是一种常见的web攻击手段,这里提供了一种XSS检测原型系统。用Java实现,检测准确率在95%以上,可直接在Class下运行。
XSS测试
qq_52016943的博客
07-28 1545
XSS 绕过
简单的xss检测
日渐机智的博客
12-09 1203
简单的xss检测 创建xss检测工具类XssUtil public class XssUtil { private static final Logger logger = LoggerFactory.getLogger(XssUtil.class); private static List<Pattern> patterns = null; /** * @return */ private static List<Object[]
XSS 测试
keyongle的博客
06-11 3774
原文转载来自:https://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.htmlWeb安全测试XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的....
XSS:漏洞的检测与防御
我乐了的博客
01-30 1651
如果在官方修复前,那个 XSS 漏洞已经被恶意利用了,那即使已经通过输入检查方法修复了,被插入的恶意代码仍会存在,这可以认为是修复不彻底的表现。PhantomJS:已停止维护。DOM XSS 的扫描相比常规 XSS 要难一些,主要是针对 JS 代码的分析,如果只是简单的正则匹配,就很容易误报漏报。不同的语言有不同的特性,在源码审计时需要采取不同的检测点,但有一个共同的思路,那就是。有时我们也会反着来:先查看一些危险的输出函数,再回溯它的参数传递,判断是否有未经过滤的用户输入数据,若有就代表可能存在漏洞。
如何测试XSS漏洞
07-06 1398
如何测试XSS漏洞 2009年3月11日 由 铁花 留言 » 黑盒手动测试 有输入框的页面测试 对于非富文本在输入框中输入特殊字符 &lt;”tiehua ‘&gt; 提交 在提交后的页面查看源代码根据关键字tiehua查找源代码中的tiehua前后的&lt;”&gt;’是否已经被转义成 &amp;lt&amp;quot&amp;gt&amp;apos 如果未被转义说明这...
JavaScript XSS过滤与测试代码详解
"XSS测试代码大全,主要关注JavaScript中的XSS过滤方法和技巧。" 在Web开发中,跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的安全漏洞,它允许攻击者在用户的浏览器上执行恶意的JavaScript代码。XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值