XSS漏洞学习

最新推荐文章于 2024-01-29 15:36:28 发布
最新推荐文章于 2024-01-29 15:36:28 发布
阅读量167 收藏 1
点赞数 1
分类专栏: 小课堂 文章标签: 反射xss DOM xss 存储xss xss 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/117278408
版权

出去了,才发现自己什么都不是。。。

​----  网易云热评

 

一、存储型XSS漏洞

1、存储型xss漏洞就是将js代码存储到服务器上,然后实施攻击

2、访问该漏洞地址

http://192.168.139.129/pikachu/vul/xss/xss_stored.php

3、可以随便留言,留一段js代码,不显示内容,js代码会直接执行,弹窗,只要该留言不删除,任何人访问到该页面都会弹窗

 

二、反射性XSS漏洞(GET和POST)

1、一次性攻击,将存在漏洞的url发送给目标,让其点击便会触发漏洞

2、GET型,将123替换为

<script>alert(123)</script>

然后将该地址发送出去,谁点击就会触发漏洞

3、POST型,将提交的内容改为

<script>alert(document.cookie)</script>

获取该用户的cooki信息

 

三、DOM型XSS漏洞

1、当源码内容与url有交互的时候就可能产生该漏洞

2、随便输入一段字符,点击"说出你的伤心事",然后再点击"费尽心机。。",会生成一个连接"就让往事。。。"

3、我们审查就让往事都随风的元素,里面读取了url里面我们提交的内容

4、构造payload

' onclick="alert(document.cookie)">

按上面步骤,让源码读取提交的内容

5、点击就让往事都随风,弹出我们需要的内容

 

禁止非法,后果自负

欢迎关注公众号:web安全工具库

欢迎关注视频号:之乎者也吧

web安全工具库
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类...
XSS漏洞详解
热门推荐
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
XSS漏洞
qq_52725216的博客
02-18 1414
xss攻击
Web安全工程师必须要知道XSS漏洞的几个要点,你知道吗?
weixin_54787877的博客
05-24 685
一、存储XSS漏洞 1、存储xss漏洞就是将js代码存储到服务器上,然后实施攻击 2、访问该漏洞地址 http://192.168.139.129/pikachu/vul/xss/xss_stored.php 3、可以随便留言,留一段js代码,不显示内容,js代码会直接执行,弹窗,只要该留言不删除,任何人访问到该页面都会弹窗 二、反射XSS漏洞(GET和POST) 1、一次性攻击,将存在漏洞的url发送给目标,让其点击便会触发漏洞 2、GET型,将123替换为 <script>al
Web安全之XSS漏洞详解
hack0919的博客
04-17 1475
常见的XSS漏洞危害有:cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等
Web安全测试(五):XSS攻击—存储XSS漏洞
ml202187的博客
09-04 1575
结合内部资料,与安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬!《全栈安全测试教程(0基础)》存储XSS,持久化,代码是存储在服务器中的。
常见WEB漏洞学习整理-XSS
06-11
常见WEB漏洞学习整理-XSS
渗透测试 漏洞xss payload大全
12-04
8k加语句,一次插个爽
基于机器学习建模的 XSS 攻击防范检测.docx
05-21
基于机器学习建模的 XSS 攻击防范检测.docx
WEB渗透学习-XSS-labs靶场
04-20
XSS-labs为WEB渗透中跨站脚本攻击专项练习靶场,内含多种攻击方式,采用关卡制,由易到难,适合刚接触该漏洞的新手巩固练习
存储XSS漏洞
A1956936030的博客
10-21 2665
什么是存储XSS: 攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。因为存储XSS的代码存在于网页的代码中,可以说是永久型的。 1.弹框测试 添加js,选择alert.js 点击生成payload并复制 复制 ...
无处不在的安全漏洞-XSS(1) 攻击方式和危害及实例讲解
AAAAAAAAAAAA66的博客
12-08 4151
接触xss和sql很久了,当初看了一遍原理,随便练一个dvwa就觉得自行了,实际上自己离熟练掌握还有很长的距离,这篇帖子会一直更,介绍完原理后会放些相关知识点,CTF题目或者是些实操(仅作学习用)----- 会一(要)直(收)更(藏)的(哦) XSS介绍 XSS又叫CSS(Cross Site Scripting),中文名叫跨站脚本攻击,在Owasp top 漏洞排名中,常年位居前列。是一种在Web应用中常见的安全漏洞,它允许将恶意代码植入Web页面,当其他用户访问此页面时,植入的恶意代码就会.
存储XSS漏洞-详细教学
weixin_45873667的博客
05-18 2799
存储XSS漏洞存储XSS漏洞反射型形成的原因一样,不同的是存储XSS下攻击者可以将脚本 注入到后台存储起来,构成更加持久的危害,因此存储XSS也称“永久型”XSS。 实验演示: 看到这是一个留言板,我们随意输入字符,发现输入的字符会存在后台或者存在了配置文件当中。 接下来,我们测试这里是否存在xss漏洞,我们输入一些特殊字符:’”<>?&666666666666,点击提交。 发现我们的输入直接被当作留言显示出来。我们再看页面源码。 我们的输入都被原封不动的输出了,说明没有做
漏洞原理XSS存贮型漏洞
最新发布
qq_56248592的博客
01-29 1224
漏洞原理XSS存贮型漏洞漏洞原理XSS存贮型漏洞XSS(跨站脚本攻击)是一种常见的Web安全漏洞,它允许攻击者将恶意代码注入到网页中,进而攻击用户的浏览器。存储XSS漏洞是一种特定类型的XSS漏洞,它发生在Web应用程序中,其中用户输入的数据被存储在数据库或其他持久性存储中,并在页面重新加载时被动态地渲染到页面上。存储XSS漏洞的原理是,当用户输入恶意脚本或代码时,它被存储在应用程序的数据库或其他存储中。
xss漏洞知识总结
ma963852的博客
04-14 5534
漏洞原理 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 未对用户的输入进行处理,浏览器将用户输入的内容当作脚本执行。恶意攻击者往Web页面里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而达到恶意的特殊目的。是一种针对用户浏览器的攻击。 漏洞分类 Xss主要分为三种类型: (1)反射反射xss又称非持久性xss,需要用户点击带有
存储xss漏洞
安全界的彭于晏的博客
06-29 1102
存储XSS漏洞反射形成的原因一样,不同的是存储XSS下攻击者可以将脚本 注入到后台存储起来,构成更加持久的危害,因此存储XSS也称’'永久型’XSS.
springboot解决XSS存储漏洞
weixin_42949219的博客
12-18 1572
在这个过滤器中监听XSSFilter,使用上面写的XssRequestWrappers来处理请求中的非法内容/**} }/**} }/**} }Filter;
xss漏洞简述
h3110n3w0r1d
04-05 2312
1.xss漏洞简介 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比 如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨...
xss漏洞 pikachu
08-13
在文章中引用的内容提到了关于Pikachu靶场的XSS漏洞学习总结和详解。Pikachu靶场是一个针对XSS漏洞进行训练和测试的平台,它提供了不同级别和类型的XSS漏洞供用户学习和实践。文章中列举了许多关卡,涵盖了反射XSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值