网络安全系列之二十四 XSS跨站脚本***2

最新推荐文章于 2021-12-19 23:58:07 发布
最新推荐文章于 2021-12-19 23:58:07 发布
阅读量122 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33859504/article/details/85072728
版权

在本篇博文中将演示存储型的跨站,这也是最常用的XSS***方式。

实验环境采用NPMserv搭建,软件下载地址:http://down.51cto.com/data/1886128。这里要用到其中的第二个网站,将软件安装目录中的www1文件夹改名为www即可。

wKiom1Raq62x_W_ZAAQ4jhxj3nQ054.jpg 

存储型的跨站是要将xss语句插入到网站的正常页面中,这里一般都是通过网站的留言本功能来实现。

点击留言本,先进行正常的留言,留言内容如下,点击提交。

wKiom1Raq76zeHMSAACgC5CiqxA622.jpg 

提交后我们可以看到此留言,

wKioL1RarCvDgE-0AAD0xPs5wtY810.jpg 

下面通过两种不同的跨站点脚本***,来分别实现页面跳转和盗取cookie。

 

(1)页面跳转

在留言内容中输入下面这个脚本:

<script>location="http://www.baidu.com"</script>

该脚本执行的操作就是当用户打开留言本页面时将自动跳转页面至百度。

wKiom1Raq9ODdWJJAADLrjm1LUc926.jpg 

留言成功提交之后,任何用户只要访问留言本页面就会自动将页面跳转至百度。

***也可以提交下列留言内容:
<iframe src= http://www.baidu.com width=400 height=300></iframe>
wKioL1Rth_mSJhBfAAC7TV5QiI8540.jpg

 这样当客户端打开留言本页面时,不是跳转到百度,而是将百度的网页嵌入到留言本页面中。

wKiom1Rth6bzWyy0AAGaBzGk9wU131.jpg

如果再将脚本修改成下面这样:
<iframe src= http://www.baidu.com width=0 height=0></iframe>
wKiom1Rth8SDOV42AAClOlhXDx4846.jpg

那么当客户端打开留言本页面时,并没有任何跳转或是显示出百度页面,但是百度其实已经被偷偷打开了。我们只要将百度换成一个网页***的地址,那么就通过这种方式实现了网页挂马。、

 

(2)盗取cookie

下面再通过跨站脚本来获取用户的cookie。
在留言本输入如下的语句:
wKiom1RxTKbyavftAACmNLCtYWE422.jpg

成功提交之后,用户只要打开留言本页面就会自动将cookie值弹出。

wKioL1RxTU3gtIsNAAFZhpRzRsA752.jpg

weixin_33859504
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS跨站脚本攻击课件
11-24
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码到网页中,然后使用户在浏览器中执行这些恶意脚本,从而窃取用户的信息、会话令牌或者执行其他恶意操作。...
XSS跨站脚本攻击)攻击学习
qq_26002283的博客
04-26 490
XSS分类: 1)反射型XSS (简单的把用户输入的数据反射给浏览器,也就是说,黑客往往需要诱使用户点击一个恶意链接才能攻击成功。) 2)存储型XSS (把用户输入的数据存储到服务器端,每个点击的用户都可能被攻击。) 3)DOM based XSS (从效果上来说DOM型XSS可以看做为反射型,通过修改页面DOM节点形成的XSS 我们称之为 DOM based XSSXSS攻击成功后,攻击者能...
漏洞-跨站脚本攻击
吴大侠的博客
12-19 679
漏洞-跨站脚本攻击 1.1 简介 XSS :Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中 Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。 攻击原理:XSS的原理是WEB应用程序混淆了用户提交的数据和JS脚本的代码边界,导致 浏览器把用
xss漏洞之——漏洞利用
wsnbbz的博客
03-04 1163
1.获取cookie进行无密码登陆 原理 网页被植入网页被植入xss脚本,普通用户访问此网页时,会自动将用户本地的cookie缓存发送到指定远端服务器 利用 (1)首先登陆一个页面,抓包获取cookie (2)复制此页面里任一选项的url,重启浏览器后直接访问此url,抓包修改cookie为上面获取的登陆成功后的cookie (3)页面登陆成功,无需密码 2.利用XSS漏洞获取管理员权限(获取...
用户输入数据进行过滤php
hugejihu9的专栏
12-27 880
文章来自:源码在线https://www.shengli.me/php/505.html   在表单中,input项,如果用户输入的是英文状态下的双引号或单引号,数据保存后。以后又在后台编辑的时候, &lt;input value=" "这是带引号的值,因为引号导致问题" " ...&gt;因为双引号或单引号的原因,发现数据“丢失”。   因此要将输入数据中引号变成htm...
PHP漏洞全解(四)-xss跨站脚本攻击
weixin_33894992的博客
07-12 145
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修改口令和下载非法的内容等请求。 XSS(Cross Site Scripting),意为跨网站脚本...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
网络安全培训视频教程-62.XSS跨站脚本攻击演示.rar
07-09
为什么要推出这一系列的大型免费网络安全培训教程?2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒...
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
网络安全培训视频教程-61.XSS跨站脚本攻击原理剖析.rar
07-09
为什么要推出这一系列的大型免费网络安全培训教程?2007年的互联网状况可以说是不容乐观,自从轰动一时的“熊猫烧香”、“金猪”病毒、到臭名远洋的“灰鸽子”木马、还有最近的“ANI”漏洞真是让人很头疼!而且病毒...
针对XSS跨站脚本漏洞 javascript 示例
qq_35010327的博客
12-13 2389
针对XSS跨站脚本漏洞,建议过滤”” 、”>” 并将用户输入放入引号间,基本实现数据与代码隔离;过滤双引号防止用户跨越许可的标记,添加自定义标记;过滤TAB和空格,防止关键字被拆分;过滤script关键字;过滤&#,防止HTML属性绕过检查。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号) [
【安全测试】Web应用安全之XSS跨站脚本攻击漏洞
weixin_30815427的博客
04-12 211
前言 以前都只是在各类文档中见到过XSS,也进行过相关的学习,但是都是一知半解,过了一段时间就忘了。 前几天我们收到了了一份标题为《XX账号昵称参数中存在存储XSS漏洞》的报告文档,来源是一个叫漏洞盒子的机构,看它的官方介绍,是一个互联网安全测试众测平台。 第一次在实际工作中遇到相关的问题,所以决定再系统的学习一下,此篇为学习记录。 XSS概念及分类 XSS 全称(Cross Site Scrip...
跨站脚本XSS
weixin_33739541的博客
01-16 105
跨站脚本XSS) 转载于:https://www.cnblogs.com/qianjinyan/p/10278381.html
XSS 跨站脚本
weixin_42008788的博客
03-01 188
1、什么是XSSXSS(Cross Site Script)跨站脚本,常见的危害有盗取用户信息、钓鱼、制造蠕虫等。 概念:黑客通过“HTML注入”篡改网页,插入恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。 2、分类 * 存储型:访问网站,触发XSSXSS存储在服务器中。 * 反射型:访问携带XSS脚本的链接,触发XSS。 * DOM型:访问携带XSS脚本的链接,触发X...
XSS跨站脚本攻击漏洞的解决
Dragon714的博客
03-07 8179
定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。如表单填写:点击保存后显示:解决思路:第一、控制脚本注入的语法要素。比如:JavaScript离不开:“&lt;”、“&...
JQuery跨站脚本漏洞
热门推荐
谢公子的博客
05-04 2万+
原理: jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 location.hash 跨站漏洞 影响版本: jquery-1.7.1~1.8.3 jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js jquery-1.5所有版本 jquery-1.4所有版本 ...
xss跨站脚本攻击kali
最新发布
07-27
对于XSS跨站脚本攻击)和Kali Linux(一个流行的渗透测试工具)这两个话题,我可以分别给你一些简要的解释。 XSS跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在目标网站中注入恶意脚本,使得这些脚本在用户浏览器中执行。这样,攻击者就可以利用用户的会话信息、篡改网页内容、重定向用户等,从而实现各种恶意行为。为了防止XSS攻击,开发人员应该对用户输入进行严格的过滤和转义,以确保不会执行恶意脚本。 Kali Linux是一个基于Debian的Linux发行版,专门用于渗透测试和网络安全评估。它内置了大量的渗透测试工具和漏洞利用框架,方便安全专业人员进行各种安全测试和评估活动。由于这些工具的功能强大,Kali Linux一般只在合法授权和合规测试的情况下使用,不应该被用于非法活动。 请注意,使用Kali Linux或进行任何形式的网络攻击都需要遵守法律和道德规范。未经授权的渗透测试活动可能会导致严重的法律后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值