网站渗透测试-XSS篇

最新推荐文章于 2024-04-24 23:55:02 发布
最新推荐文章于 2024-04-24 23:55:02 发布
阅读量679 收藏 4
点赞数 1
分类专栏: 渗透测试 xss跨站脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43411799/article/details/108469808
版权
本文深入探讨了XSS攻击的产生原理,包括反射型、存储型和DOM-Based型三种分类,并详细介绍了XSS测试的标签触发、伪协议触发、事件触发等判断方法,以及常见的XSS语句。同时,文章还讲解了如何通过关键字检测绕过、实体编码和URL编码等方式进行XSS绕过策略的研究。
摘要由CSDN通过智能技术生成

文章目录

XSS产生原理

XSS本质:系统将用户输入的脚本代码(JS, Flash script)执行了,违背了原本接收数据的本意。从而造成了一些违背系统愿意的后果

XSS根本原因;系统没有对用户输入数据进行编码,转义,过滤限制等处理

XSS分类

1 、反射型:非持久型,在上面的架构中,用户使用浏览器,然后浏览器发送请求到服务器后台的Java或者PHP,或者Python,然后服务器逻辑程序返回响应结果,传送到客户端浏览器显示。

2、存储型:持久型,在上面架构中,用户使用浏览器发送请求到服务器,应用逻辑向数据库存取数据,(XSS代码存储在DB中),再经过应用程序发送响应传送到浏览器显示。

3、DOM-Based型:非持久型,在上面的架构中,只涉及用户浏览器,变化只发生在客户端的JS与HTML之间。不涉及服务器交互

XSS测试判断

1、标签触发

代码如下:

<script>alert(1)</script>

2、伪协议触发

javascript:非标准化的协议,这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行
代码如下:

<a href="javascript:alert(1)">abc</a>

3、事件触发

满某种条件自动触发,当此图片没有加载成功时会触发弹窗

<img src="#"onerror=alert(1)>

4、常用的Xss语句

<script>alert(XSS)</script>

<img src="x" onerror=alert(1)>
<img src=1 onmouseover="alert(1)">

<a href=javascript:alert('xss')>test</a>
<a href="" onclick=alert
最低0.47元/天 解锁文章
瞳术师only
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试-XSS
SK1ng的博客
10-03 2595
XSS 原理 XSS 即跨站脚本攻击(Cross Site Script),通过构造代码(JS)注入网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段浏览器代码,也就是用户被攻击了 微博、留言板、聊天室、订单等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 攻击的风险,只要没有对用户的输入进行严格的过滤,就会被XSS 攻击 危害 盗取各种用户账户 盗取用户Cookie资料,冒充用户身份进入网
Xss测试平台.zip
03-06
XSSer——用于检测和利用XSS漏洞的自动Web测试框架工具 XSS是一种非常常见的漏洞类型,它分布非常广泛,且比较容易被检测到。 攻击者可以在无需验证的情况下将不受信任的JavaScript片段插入到应用程序中。然后,该JavaScript片段将会被访问目标站点的受害者执行。https://gbhackers.com/a3-cross-site-scripting-xss/ 跨站点“Scripter”(又名Xsser)是一个自动框架,用于检测、利用和报告基于Web的应用程序中的XSS漏洞。 它包含几个可以绕过某些过滤器的选项,以及各种特殊的代码注入技术。
XSS语句大全
最新发布
ch_ycc的博客
04-24 1250
10、t_sort="type="button" onfocus="alert(1) onfocus-当窗口获得焦点时运行脚本。13、Cookies传 user=" onclick="alert(1)" type="text"12、User agent传 "type="button" onclick="alert(1)11、Referer传" type="button" onclick="alert(1)转化为实体字符: javascript:alert('xss')
xss平台测试
weixin_33716557的博客
03-26 317
2019独角兽企业重金招聘Python工程师标准>>> ...
搭建XSS (跨网站指令码) 测试平台
_Co1a
12-09 1132
网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。 XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台,XSS可以做JS能做的所有事情,包括但不限于窃取cookie、后台增删文章、钓鱼、利用XSS漏洞经行传播、修改网页代码、网站重定向、获取用户信息(比如浏览器信息、IP地址)等。 书.
HTML 事件
weixin_30325487的博客
02-11 187
1、HTML 全局事件属性   HTML4 的新特性之一就是可以使 HTML 事件触发浏览器中的行为,比方说当用户点击某个 HTML 元素时启动一段 JavaScript,在 HTML5 中还增加了一些新的事件属性。   HTML 事件就是发生在 HTML 元素上的事情。当在 HTML 页面中使用 JavaScript 时, JavaScript 就可以触发这些事件。HTML 事件可以是浏览器...
python渗透测试编程技术-方法与实践.azw3_python渗透测试_
09-30
文章将深入探讨Python在渗透测试中的应用、方法以及实践。 一、Python基础 在进行Python渗透测试前,首先需要掌握Python的基础语法和常用库。Python的易读性强,学习曲线较平缓,使得开发者能够快速构建测试...
[HACK学习呀] - 2019-12-08 漏洞挖掘 - 一处图片引用功能导致的XSS1
08-03
文章强调了在渗透测试或漏洞挖掘时,理解功能实现原理、采用创新和细致的思路的重要性。不要仅仅依赖于直觉或常规手段,而是要深入探究可能的边缘情况和异常用例,这样才能找到那些不易察觉的安全隐患。 总之,此...
backtrack之XSS
04-26
XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,...在DVWA(Damn Vulnerable Web Application)这样的靶场环境中,你可以利用XSSF来测试XSS漏洞。例如,可以在输入框中插入XSSF服务器的`loop` URL: ```html ...
信息安全之Web劫持与流量劫持法律治理研究.pdf
09-09
渗透测试、Web安全、网络信息安全、大数据和漏洞分析是本文可能涵盖的具体技术点。渗透测试是一种主动的安全评估方法,通过模拟黑客攻击来发现并修复系统漏洞。Web安全涉及Web应用程序的安全性,包括防止SQL注入、...
burpsuite_pro_v2020.4.1.rar
08-09
在网络安全领域,Web渗透测试是一项至关重要的工作,它帮助我们发现并修复网站潜在的安全漏洞。Burp Suite Pro作为业界知名的网络应用安全测试工具,因其强大的功能和易用性而备受青睐。本文章将详细介绍Burp ...
XSS测试平台.zip
08-06
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台
web安全之XSS攻击demo
04-18
web安全之XSS攻击demo,配合我个人博客使用,谢谢各位的捧场
Web安全测试之XSS实例讲解
01-19
Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。 作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。 阅读目录 XSS 是如何发生的 HTML Encode XSS 攻击场景 XSS漏洞的修复 如何测试XSS漏洞 HTML Encode 和URL Encode的区别
防范XSS攻击程序
07-29
输入转义 对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的请求,检测每个请求的参数是否含有XSS攻击关键字,如果存在xss攻击关键字,转义特殊字符。 方法是实现一个自定义的 HttpServletRequestWrapper ,然后在 Filter 里面调用它,重写getParameter, getParameterValues 函数即可。
[web安全]一个简单的xss注入检测工具
热门推荐
hzeyuan.cn
01-03 1万+
最近在学xss,碰巧在github上发现了这个xss注入检测工具. 自己看代码,是学习xss注入的一个好方法。 github地址:https://github.com/shawarkhanethicalhacker/BruteXSS-1 关于xss的原理可以参考下面这文章,我感觉写的挺好。 当然下次我也可以自己写一个总结下咯!!! https://www.cnblogs.com/phps...
渗透测试-XSSI漏洞小结
cdyunaq的博客
04-07 778
简介 XSSI(Cross Site Script Inclusion)跨站脚本包含是一种允许攻击者通过嵌入script标签的src属性来加载敏感js绕过边界窃取信息的漏洞。 简单来讲,就是攻击者通过使用 标签跨域包含特定文件/页面,就可以窃取符合JavaScript格式的文件中的敏感信息。 举例如下: #!javascript <script< span=""></script<>src="http://target.wooyun.org/secret"&gt
XSS测试平台使用
Fly_鹏程万里
08-07 2056
这里推荐一个常用的XSS平台:xsspt.com,下面是该平台的使用教程~ XSSPT使用方法: 注册 如果没有账户,可以通过“注册”来注册一个账户: 登录 使用注册的账户登录进行登录认证,之后即可进入主页面 功能界面介绍 a、主界面 B、辅助选项 C、学习 该模块披露了一些已经修复的漏洞,有助于自我学习与实践 D、友情链接与历史 友情链接可以帮助你...
模拟渗透测试报告(基于一次实验)
qq_45070118的博客
08-19 1741
1. 报告摘要 根据xx有限公司渗透测试报告授权xx技术(北京)有限公司,于201x年0x月0x日至201x年0x月0x日,xx技术(北京)有限公司项目组成员xx,通过远程扫描/手工测试方式对松山菸廠网站渗透测试报告所提供的网站应用系统进行了全面深入的渗透测试。根据渗透测试结果按漏洞名称分布如下表格。可在表格中看此次渗透测试的大概情况。 2. 项目概述 2.1. 渗透测试前言 随着信息化程...
WEB2.0下渗透测试XSS攻击与新趋势
在"几个渗透小故事-WEB2.0下的渗透测试"这文章中,作者探讨了在WEB2.0背景下进行渗透测试的相关知识。首先,文章对比了WEB1.0和WEB2.0的渗透测试,指出WEB2.0的渗透测试主要集中在客户端攻击,目标包括网站用户、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值