XSS跨站之旅第02篇:XSS简单介绍及知识储备(1)

最新推荐文章于 2019-09-08 22:30:19 发布
最新推荐文章于 2019-09-08 22:30:19 发布
阅读量651 收藏
点赞数
分类专栏: XSS跨站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mars1992/article/details/21162991
版权


       学习XSS之前,你需要了解以下知识,掌握越好后面越轻松~


       1、HTML

        这一部分你需要随意拿给你一个网页的源码,你就能看出基本的框架,语句对应网页上的哪一部分。参考资料很多,个人建议不要看神马从新手到高手什么的书,直接W3CSchool。里面的内容如果认真看一下,一个下午基本足够你用的了。最低限度标签神马的你要知道吧...以后遇到没有接触的再利用搜索引擎补充学习就是了。


       2、JavaScript

      这一部分就是XSS的核心内容了,基本上你所有的XSS都是通过JavaScript实现的。在大学的时候一直以为JavaScript跟Java是联系紧密的...其实两者没有多少关系...这一部分也可以在W3CSchool看,我就花了一个上午看了基本的语法,下午就直接在某邮箱用上了...后面还是花了些时间再看了一遍的,这一部分很重要。


      3、ASP或PHP

      这一部分是为了跨站之后的邪恶操作,例如传账号密码,cookie等无数你想要的东西。这一部分只有ASP在大学掌握了些皮毛,PHP完全没看过,也是边翻书边用的。不给出学习意见了,免得耽误他人~


      4、推荐书籍

      最后推荐几本书吧,也是我正在看的,可以随时交流

     《白帽子讲web安全》

     《XSS跨站脚本攻击剖析与防御》

     《Web前端黑客技术揭秘》

      其中某一本书的作者算起来应该是我的师兄




Mars马尔斯
关注
专栏目录
XSS跨站
ssrf
02-02 275
目录xss跨站xss工具使用防御vs绕过其它问题 xss跨站 xss工具使用 XSStrike使用 https://github.com/s0md3v/XSStrike #自动化工具说明 XSStrike主要特点反射和 DOM XSS 扫描 多线程爬虫||Context分析||可配置的核心||检测和规避 WAF||老旧的 JS 库扫描||智能payload生成器||手工制作的 HTML & JavaScript 解析器||强大的fuzzing引擎||盲打 XSS 支持||高效的工作流||
XSS跨站旅第03XSS简单介绍知识储备(2)
Mars马尔斯的专栏
03-15 602
一、什么是XSS       对于XSS介绍引用百度百科加上自己的一些解释,描述的比较准确了。        XSS跨站脚本,全称是Cross-SiteScripting,简称其实应该是CSS,但是为了不与CSS(样式表)混淆,最后就称为XSS了。攻击者主要利用网站的XSS漏洞,在正常的网页中注入恶意的HTML/JavaScript代码。当用户浏览网页时,嵌入其中的代码就会执行,攻击
XSS跨站旅第01:安全声明
Mars马尔斯的专栏
03-15 383
这次下定决心写blog还是为了交流,如果试用期感觉不错的话,以后我应该就走上了网络安全这条路了。        一个人学习还是很无趣的,分享使人快乐,也希望你能与我分享,给出你的建议,指出我的错误。 本blog的重要声明: 1、本blog所有言论与观点都是个人观点,与所在公司无关,不代表所在公司的态度。 2、本blog所有相关内容都是基于技术探讨,请不要用于恶意攻击。 3、本bl
关于XSS的一些知识
weixin_30575309的博客
03-25 120
安全套接层(SSL)无助于减少XSS攻击。当Web浏览器使用SSL的时候,在网络中传送的数据是经过加密的,但是因为XSS攻击是在客户机器上发生的,所以数据已经被解密了,这时,攻击者仍然能够利用XSS安全漏洞来访问解密后的数据。 XSS攻击中的一些常用数据域: URL/query字符串:攻击者能够在URL/query字符串中存储数据,并且通过控制用户访问指定的链接来使受害者发送这些数据给W...
SPRINGMVC 406问题解决方案
08-25
主要介绍了SPRINGMVC 406问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
**XSS跨站脚本攻击详解** XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在用户浏览器上注入恶意脚本。这些脚本可以劫持用户会话、盗取Cookie、操纵页面内容,甚至进行更复杂的攻击。...
第09跨站脚本(XSS)备忘单-2019版1
08-03
跨站脚本(XSS)是一种常见的网络安全漏洞,它允许攻击者通过注入恶意脚本到受害者的浏览器中,从而执行非授权的操作。这份2019年的XSS备忘单详细列出了多种攻击向量,涵盖了不同的事件处理、通信协议、特殊属性、...
第28天:WEB漏洞-XSS跨站之WAF绕过及安全修复1
08-03
WEB 漏洞-XSS 跨站之 WAF 绕过及安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
XSS跨站脚本攻击剖析与防御.pdf
05-16
第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击...
xss跨站脚本攻击-运维安全详细笔记
最新发布
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结:...
存储型跨站脚本攻击
热门推荐
一个程序员的修炼之路
08-10 1万+
XSS跨站脚本攻击(Cross Site Script, XSS),是最常见的Web应用应用程序安全漏洞之一,也是OWASP 2013 Top 10之一。 XSS通常来说就是在网页中嵌入恶意代码, 通常来说是Javascript,当用户访问网页的时候,恶意脚本在浏览器上执行。存储型XSSXSS主要分为三种类型: 反射型XSS,存储型XSS和DOM型XSS。本文主要阐述的是存储型XSS简单来说明一下
XSS学习笔记(二)(存储型XSS,持久型攻击)
lddzjl的专栏
04-21 1539
持久型XSS攻击就是把攻击数据存进数据库,攻击行为就伴随着攻击数据一直存在,下面找来一个利用持久型攻击获取Session ID,同时向浏览器传送一个cookie,(这里科普一下,即使是使用了session验证的方法,还是需要客户端支持cookie), cookie会保存会话连接中的数据,Session ID作为会话标识,浏览器的后续请求就会基于后续请求,攻击者可以提供一个攻击链接,用户点击该链接时
HTTP 常见错误
weixin_30436891的博客
12-26 1962
HTTP 错误 400 400 请求出错 由于语法格式有误,服务器无法理解此请求。不作修改,客户程序就无法重复此请求。 HTTP 错误 401 401.1 未授权:登录失败 此错误表明传输给服务器的证书与登录服务器所需的证书不匹配。 请与 Web 服务器的管理员联系,以确认您是否具有访问所请求资源的权限。401.2 未授权:服务器的配置导致登录失败 此错误表明传输给服务器的证书与登录服务器所需的...
跨站语句
曲终人散
06-11 984
alert("跨站") (最常用) (?用tab键弄出来的空格) (/**/ 表示注释) input {left:expression (alert('xss'))} html 实体 unicode "]}%3Cscript%3Ealert('test')%3C/script%3E{[&item="]["
xss小结
Hydra的博客
11-20 891
首先看一下题目,题目说alert出xss三个字母,才会有flag 输入 xss123输出123,说明小写xss被过滤了 绕过方法一 编码绕过 <script>alert(String.formCharCode(120,115,115))</script> 还可以把<script>alert("xss")</script> hex编码绕...
储存型XSS和DOM型XSS的解析
weixin_44749329的博客
05-19 3610
储存型XSS和DOM型XSS的解析 存储型XSS漏洞 存储型的XSS漏洞和反射型形成的原因是一样的,也在输入输出时造成的问题,不同的是存储型的XSS下可以将攻击者的脚本注入后台存储起来,结构更加持久的危害,因此存储型XSS也称“永久型”XSS。 1.打开pikachu“Cross-Site Scripting—存储型XSS” 2.在我是一个留言板里留个言随便输入一个东西,点击提交(submit)...
XSS技巧拓展】————14、XSS攻击另类玩法
Fly_鹏程万里
01-21 1280
今天就来讲一下大家都熟悉的 xss漏洞的攻击利用。相信大家对xss已经很熟悉了,但是很多安全人员的意识里 xss漏洞危害只有弹窗或者窃取cookie。但是xss还有更多的花式玩法,今天将介绍几种。 1.  xss攻击添加管理员 后台触发存储型XSS,网站设置http-only,窃取的cookie无效。那么如何在这种情况下利用xss漏洞。无法获取cookie,但是我们可以利用xss漏洞,以管理员...
网络安全:存储型XSS
垃圾管理员的垃圾站
09-08 7070
书接上文(有没有一种熟悉的味道),来看存储型XSS,这个最常见,也最好理解。 数据库里的一条数据显示了出来。 我们输入一些东西,下方又会多出来一条数据: 如果重新加载页面,仍旧有这两条数据。这就是存储型,输入数据会被存入数据库,网页每次被打开,都会从数据库里调出显示。 这个像什么?对,就是我们文章下面的评论系统,文章所有的评论会被存进数据库,每一个浏览...
XSS跨站攻击详解:危害、类型与JavaScript知识
"XSS跨站攻击" XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它发生在攻击者能够在用户浏览器中注入恶意脚本时。这种攻击通常发生在网站没有正确地过滤或编码用户输入的情况下,使得恶意代码能够与合法的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值