XSS篇
介绍:注入的一种,针对网站应用程序,将代码注入到网页中,其他用户在使用是会受影响,利 用XSS攻击成功后可能获取到更高曾权限
XSS分为三种:存储型、反射型、dom型
反射型:又称为非持久性XSS,具有一次性
攻击方式:通过电子邮件等将恶意链接发送给目标用户
存储型:又称持久型XSS,攻击脚本存永久存放在目标服务器的数据库或者文件中,具有高隐蔽性
攻击方式:论坛,博客,留言板等,恶意脚本连同正常内容一起被注入到帖子内容中,帖 子存放在服务器中,其他用户浏览该帖子会触发脚本。
例如:<script>alert(/hack by hack/)</script>;其他用户浏览该页面会跳出弹窗
常用测试语句:
<script>alert(1)</script>
<img src=x οnerrοr=alert(1) />
<svg οnlοad=alert(1)>
<a herf=javascript:alert(1)>
编码绕过:js编码、HTML实体编码、url编码
JS编码: 用e举例
三个八进制数字,若位数不够,前面补零 "\145"
两个16进制数字 "\x65"
四个16进制数字 "\u0065"
HTML实体编码:
命名实体:&开头,分号结尾 例如< 编码为&It;
字符编码:十进制、十六进制ascii编码或者unicode编码 "&#数值"
< 编码为"<" "<"
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
