xss跨站脚本测试

最新推荐文章于 2023-08-04 15:52:08 发布
最新推荐文章于 2023-08-04 15:52:08 发布
阅读量291 收藏
点赞数
文章标签: javascript php ViewUI
原文链接:http://www.cnblogs.com/xueli/p/5019809.html
版权

测试的时候会涉及到xss测试,下面简要整理下xss的知识

xss跨站脚本特点就是能注入恶意的HTML/JS代码到用户浏览器,劫持用户会话,如果确认存在漏洞,会随着注入的内容不同而产生危害比如:窃取cookie,网页挂马,恶意操作,跨站蠕虫等等

分类:

反射型:非持久,一般为一个url,需要用户单击,在url中参数传入

持久型:常存在于评论等交互中,常见于<textarea>这种标签,可用于挂马钓鱼渗透等

可见,为了防止xss,字符过滤可以有效的较少被攻击的危害,但是xss攻击不止这么简单,

它还可以绕过服务端的xss过滤!!!待续

ps:常用的xss攻击语句列表

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet 英文

http://drops.wooyun.org/tips/1955 中文

如果可以发现最基础的xss可以执行,那么就可以注入其他有害的操作或者获取信息

例如一些javacript事件:onerror,onfocus,onclick,ontimeout。。。

http://wenku.baidu.com/link?url=q9-QLRlKm788Hdn7F0-Fy2Ujqg8N995-DLk4cS_cXdds1h9lQIvtGf78KbUM55GtKiS6qTwd--Aj6YSsEh2YmiB4VZ611J3pwdj0AeSeApi

--------------------------------------------------------------------------

/***********工作中用到渗透语句:******************/


1. 跨站攻击

输入框测试

<--测试方法-->

(1)<a href="javascript:alert(1)"/>我的评论</a>

(2)cookies
"/><script>confirm(document.cookie)
<script>confirm(document.cookie)</scr

(3)<script>alert(1)</script>

 

2. URL跳转漏洞

<--测试方法-->
修改参数中的合法URL为非法URL,然后查看是否能正常跳转或者响应包是否包含了任意的构造URL
例子:
(1)http:/xxx.com.cn/post.do?retUrl=javascript:alert(document.cookie)
直接注入到URl里面了
(2)访问http://xxx.com.cn/login.do?retUrl=http://www.baidu.com
登录后即可跳转到www.baidu.com


3. 存储型跨站

<--测试方法-->
会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在
例子:
在页面源代码中修改回复内容添加
<img src=http://xxx.com.cn/tesad.gif οnerrοr=alert(666) />

4.参数跨站

<--测试方法-->

http://xxx.com.cn/usr/user.jsp?param_prov=&gender=&prov=&city=&birthday=%3Cscript%3Ealert%281%29%3C/script%3E

 

转载于:https://www.cnblogs.com/xueli/p/5019809.html

weixin_30491641
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS脚本攻击剖析与防御.pdf
05-16
XSS脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS脚本攻击剖析与防御
04-28
XSS脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
Web应用安全:简单XSS测试脚本(实验).docx
06-19
简单XSS测试脚本 一、实验目的 了解XSS的有关知识; 了解XSS的实际操作; 了解XSS的攻击原理。 二、实验内容 在主机上搭建pikachu点; 在点上进行简单XSS测试脚本。 三、实验内容与步骤 在主机上搭建pikachu点: 1.1、pikachu点上集成了许多XSS测试的平台,在这里搭建便于对XSS进行测试,将“pikachu.zip”压缩包解压到phpStudy的WWW文件夹下 1.2、开启phpStudy并开启Apache服务和MySQL数据库。 1.3、根据实际情况修改inc/config.inc.php里面的数据库连接配置,这里我们数据库在之前设置的密码就是root,所以没有改变的话是不用设置的。 1.4、访问/pikachu,会有一个红色的热情提示"欢迎使用,pikachu还没有初始化,点击进行初始化安装!",点击即可完成安装。 在点上进行简单XSS测试脚本 2.1、点击“Cross-Site Scripting”然后点击反射型XSS(get),打开反射型XSS测试点。 2.1.1、看见页面提示“Which NBA player do you lik
Xss脚本测试是什么
u012610902的博客
07-11 463
测试的时候会涉及到xss测试,下面简要整理下xss的知识xss脚本特点就是能注入恶意的HTML/JS代码到用户浏览器,劫持用户会话常用alert来验证网存在漏洞如果确认存在漏洞,会随着注入的内容不同而产生危害&lt;script&gt;alert("xss test");&lt;/script&gt;"/&gt;&lt;script&gt;confirm(document.cookie)...
xss 脚本测试示例
xu990128638的专栏
08-26 251
所访问的地址加入该参数 ?test=<script>alert(1);</script> 比如: https://www.baidu.com?test=<script>alert(1);</script> 当前网址:https://www.xxx.com.cn/?test=%3Cscript%3Ealert(1);%3C/script%3E 客户端特征:Mozilla/5.0 (Windows NT 10.0; Win64; x64) ...
XSS脚本攻击与测试语句大全
weixin_30888707的博客
04-19 534
一、什么是XSS攻击   XSS又叫 CSS (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是...
【burpsuite安全练兵场-客户端11】脚本XSS-20个实验(上)
热门推荐
01-13 1万+
【BP靶场portswigger-客户端11-脚本XSS】20个实验-万文详细步骤
xss脚本攻击汇总
07-24
xss脚本攻击汇总,可以学习一下啊,比较全面了
XSS脚本gj剖析与防御.pdf
05-13
XSS脚本攻击剖析与防御》,完整版本。作者:邱永华,出版社:人民邮电出版社,ISBN:9787115311047,PDF 格式,扫描版,大小 67MB。本资源带有PDF书签,方便读者朋友阅读。 内容简介: 《XSS脚本攻击剖析...
XSS脚本剖析与防御
11-25
免责申明:所供资料仅供学习之用,任何人不得将之他用或者进行传播,否则应当自行向实际权利人承担法律责任。 阐述了XSS的基础知识,剖析了XSS的攻击...讲解了XSS测试工具,发掘XSS漏洞技术,XSS Worm防御,Flash应用安全
【安全测试】Web应用安全之XSS脚本攻击漏洞
最新发布
GDYY3721的博客
08-04 2137
以前都只是在各类文档中见到过XSS,也进行过相关的学习,但是都是一知半解,过了一段时间就忘了。前几天我们收到了了一份标题为《XX账号昵称参数中存在存储XSS漏洞》的报告文档,来源是一个叫漏洞盒子的机构,看它的官方介绍,是一个互联网安全测试众测平台。第一次在实际工作中遇到相关的问题,所以决定再系统的学习一下,此篇为学习记录。
XSS漏洞检测脚本
Asunatoy的博客
03-04 674
XSS漏洞检测脚本;Python
渗透测试XSS脚本
qq_49091880的博客
04-17 2430
一、XSS脚本的特点 1.XSS最大的特点就是能注入恶意的代码到用户流浪器的网页上, 从而达到劫持用户会话的目的。 2.脚本 是一种经常出现在web应用程序中的计算机安全漏洞,是由于web应用程序对用户 的输入过滤不严产生的。攻击者利用网漏洞把恶意的脚本代码注入到网页中,当其他 用户浏览这些网页的时候,就会执行其中的恶意代码,对受害用户可能采用cookie资料 窃取,会话劫持,钓鱼欺骗等攻击手段。 3.XSS脚本实例 <html> <head>xss<
php脚本,基于PHP的在线脚本检测工具
weixin_33220713的博客
03-11 149
脚本越来越隐蔽的今天,应对该漏洞威胁就成了一项艰巨的任务[1-3]。在早期对脚本的研究只停留在简单的暴力式攻击[4],而对绕过等新兴的攻击方式缺乏了解。但近几年国外对于脚本的研究越来越深入,有了这些研究基础,Web安全大大的提高了[5]。目前国内的研究现状,也基本已经涉及到脚本的各个层次,唯独自动化的检测工具较少,即便是有也主要针对SQL注入等漏洞[6-8]。不专注与构造型的...
安全测试XSS脚本攻击
小太阳~
01-28 1万+
一、脚本攻击的概念脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。举个比较常见的网络上的一个例子,某个论坛或者页面上有个广告,网址是zhengpin.taobao.com,你点击进去,你看是购物网,又是淘宝的,你就进去购买了
XSS脚本检测
分享学习网络的点点滴滴
08-22 721
通过WEB点漏洞,向客户端交付恶意脚本代码,实现对客户端的攻击目的。这样尝试在里面输入HTML代码也是可以被执行的。提交给服务器的脚本被直接返回给其他客户端执行。判断是否存在XSS漏洞,看看是否有返回值。服务器对用户提交数据过滤不严。使用最广的客户端脚本语言。脚本在客户端执行恶意操作。命名完全处于市场原因。
【渗透测试脚本攻击(XSS):xss-labs通关简记
weixin_53972936的博客
10-25 1852
XSS又叫CSS(Cross Site Script)脚本攻击,是指恶意攻击者往web页面中插入恶意代码,当用户浏览该网页时,嵌入其中的恶意代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击。 XSS最大的特点就是能注入恶意的HTML/JavaScript代码到用户浏览的网页上,从而达到劫持用户会话的目的。由于HTML代码和客户端JavaScript脚本能在受害者主机上的浏览器任意执行,这样等同于完全控制了Web客户端的逻辑,在这个基础上,黑客或攻击者可以轻易地发动各种各样的攻
网络安全测试中的脚本攻击(XSS):Python和FlaskSecurity实现脚本攻击测试
禅与计算机程序设计艺术
07-04 3989
作者:禅与计算机程序设计艺术 《33. 网络安全测试中的脚本攻击(XSS):Python和Flask-Security实现脚本攻击测试》 引言
Web渗透测试-Xss脚本攻击(Cross Site Scripting)
aming小老弟
01-29 4682
Xss通用明文 &&表单劫持 脚本攻击漏洞概念, 漏洞原理和危害, 掌握反射型、存储型XSS漏洞利用方法 每天一个网安开发小技巧——XSS扫描器 – 自动刷SRC w13scan的xss扫描功能进行优化 灵感注入xray所引起的基于语义的扫描技术。 xss扫描之前是w3afxss payload,通常在以下几个部分。 Xsstrike,Xray,Awvs中的检测技巧以及检测参数 XSStrike 先说说Xss
测试人员如何测试XSS脚本攻击
07-08
测试人员可以采取以下步骤来测试应用程序中的 XSS脚本攻击)风险: 1. 理解应用程序:首先,测试人员需要充分了解应用程序的功能、数据流和相关的输入输出点。这有助于确定哪些输入点可能存在 XSS 的潜在风险...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值