xss最大的特点就是能注入恶意的代码到用户的浏览器的网页上,从而达到劫持用户会话的目的
xss是一种经常出现在web应用程序中的计算机安全漏洞,是由于web应用程序对用户的输入过滤不严而产生的。攻击者利用网站把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采用cookie资料窃取,会话劫持,钓鱼欺骗等攻击手段
xss的危害
1.网络钓鱼,包括盗取各类的用户账号
2.窃取用户cookie
3.窃取用户浏览请会话
4.强制弹出广告页面,刷流量
5.网页挂马
6.提升用户权限,进一步渗透网站
7.传播跨站脚本蠕虫等
反射型XSS ,存储型XSS,dom型xss
xss常用的小工具
hackbar,firebug ,tamper data , live http headers , editor cookie,view source chart
盗取cookie 用啊D就可以进行利用
xss绕过限制
几种简单的绕过XSS的方法:
1.绕过magic_quotes_gpc 这是一个安全措施,会将一些敏感字符进行转换
2.hex编码
3.改变大小写
4.关闭标签
1.在hackbar中用xss中的string功能将alert(‘xss’);这一部分进行转码即可绕过
2.hex转换,将 语句中的所有内容进行hex编码
3.改变大小写
4.
扫描xss漏洞 用awvs 比较好用!~
beef这工具有点意思
beef实验一:利用beef劫持客户端浏览器
beef实验二:beef+msf拿客户端shell(ie6,xp)
beef实验三 : beef+msf拿客户端shell(ie7,8,9)
xss的扫描与后门利用
wvs,椰树,safe3,Xelenium,w3af,vega(kali的工具),xss扫描插件
留后门:写入管理员登录页面,永久劫持管理员cookie