XSS基础知识_02

最新推荐文章于 2024-03-26 12:37:05 发布
最新推荐文章于 2024-03-26 12:37:05 发布
阅读量378 收藏
点赞数
分类专栏: web安全常见漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43712064/article/details/104142203
版权
文章目录存储型XSS手工(低安全级别)自动化XSSBeFF简介BeFF基础存储型XSS存储型XSS(持久型XSS)即攻击者将带有XSS攻击的连接放在网页的某个页面,例如评论框等;用户访问此XSS链接并执行,由于存储型XSS能够攻击所有访问此页面的用户,所以危害极大。手工(低安全级别)1.攻击1攻击1 弹框警告:渗透机kali Linux端操作text1<script>al...
摘要由CSDN通过智能技术生成

文章目录

存储型XSS

存储型XSS(持久型XSS)即攻击者将带有XSS攻击的连接放在网页的某个页面,例如评论框等;用户访问此XSS链接并执行,由于存储型XSS能够攻击所有访问此页面的用户,所以危害极大。

手工(低安全级别)

1.攻击1

攻击1 弹框警告:渗透机kali Linux端操作
text1
<script>alert('yangge')</script>

在这里插入图片描述
提交后弹框‘yangge’
在这里插入图片描述
http://192.168.122.129/dvwa/vulnerabilities/xss_s/

以后只要用户点击 ‘XSS stored’ 进入该页面就弹框警告。

肉鸡win7操作:
在这里插入图片描述
2.攻击2

攻击2 获取cookie:渗透机Kali Linux端此操作
1>构建收集cookie服务器
2>构造XSS代码并植入到web服务器
3>等待肉鸡触发XSS代码并将cookie发送到Kali Linux
4>Cookie利用

(1)构建收集cookie服务器 --Kali Linux

1)在Kali上启动Apache服务器

root@kali:~# service apache2 start

2)构建XSS代码


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  菜丁儿
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
XSS漏洞-04】如何调用XSS漏洞的shellcode

				
			

			

				

					m0_64378913的博客
				

				

					05-15
					
					1544
					
				

			

		

		

			
				
目录1 实验简介1.1 实验目的1.2 实验环境2 shellcode的调用实验2.1 远程调用JS2.2 利用Windows.location.hash触发JS2.3 利用XSS下载器2.4 备选存储技术
在上两节中我们了解了XSS漏洞验证、语句构造与绕过的方法,而完整的XSS攻击会将shellcode(shellcode就是利用漏洞所执行的代码)存放在一个地方,然后在存在XSS漏洞的地方触发漏洞去调用代码。
1 实验简介
1.1 实验目的
模拟利用XSS漏洞执行shellcode的几种方法。
1.2 实

			
		

	



                

              
                



	

		

			

				
					
[WEB安全]XSS命令总结

				
			

			

				

					baguangman5501的博客
				

				

					07-22
					
					1045
					
				

			

		

		

			
				
一:正常构造方式:
1、无过滤,直接写:
<script>alert(1)</script>
2、正常截断:
"> <script>alert(1)</script>
'> <script>alert(1)</script>
3、不用<>尖括号:
" onmouseover=alert(1) ...

			
		

	



                


  
              

                


	

		

			

				
					
XSS命令大全

				
			

			

				

					Abc_Kimball的博客
				

				

					12-25
					
					735
					
				

			

		

		

			
				
XSS命令大全:
'> ">
 ='>
 
%3Cscript%3Ealert(1)%3C/script%3E
 

  

  

  



			
		

	





	

		

			

				
					
渗透工具开发——XSS平台的命令行实现

				
			

			

				

					Spontaneous_0的博客
				

				

					02-20
					
					1097
					
				

			

		

		

			
				
渗透工具开发——XSS平台的命令行实现

			
		

	



		

			
		



	

		

			

				
					
web安全【xss命令总结】

					
最新发布

				
			

			

				

					qq_45752705的博客
				

				

					03-26
					
					697
					
				

			

		

		

			
				
把% url编码成 %25 ,如果后台对参数有再次进行url decode 或者输出的时候有 url decode 就可以绕过WAF。"> < a href=“javascript:alert(1)”>漏洞。<IMGSRC=java(16进制编码)XSS')>" οnmοuseοver=alert(1) 空格。’ οnmοuseοver=alert(1) 空格。

			
		

	





	

		

			

				
					
XSS.zip_XSS_c xss

				
			

			

				

					09-24
				

			

		

		

			
				
**XSS(跨站脚本攻击)基础知识**  XSS,全称为Cross-Site Scripting,是一种常见的网络安全漏洞,主要发生在Web应用中。攻击者通过注入恶意脚本到网页上,当用户浏览这些网页时,恶意脚本会在用户的浏览器中执行,...

			
		

	





	

		

			

				
					
Web设计和开发的基础知识__LabExercise

				
			

			

				

					02-16
				

			

		

		

			
				
在Web设计和开发的世界里,基础知识是构建任何网站或应用程序的基石。这个“Web设计和开发的基础知识__LabExercise”涵盖了这一领域的核心概念,特别是强调了JavaScript语言的应用。JavaScript是Web开发中的三大核心...

			
		

	





	

		

			

				
					
CF复习.pdf_vulnerability_网络安全攻防基础知识总结_

				
			

			

				

					10-03
				

			

		

		

			
				
《网络安全攻防基础知识总结》  在当今信息化社会,网络安全已成为我们日常生活的重要组成部分。这份资料《CF复习.pdf_vulnerability_网络安全攻防基础知识总结_》详细梳理了网络安全的基础知识,为学习者提供了全面...

			
		

	





	

		

			

				
					
fortify安全基础知识 不同语言软件安全漏洞

				
			

			

				

					05-27
				

			

		

		

			
				
本篇将详细介绍软件安全的基础知识,以及Java、CC++和dotNET这三种语言的软件安全漏洞类型。  首先,软件安全基础知识主要包括以下几个方面:  1. **风险评估**:在软件开发初期,进行风险评估可以帮助识别潜在的...

			
		

	





	

		

			

				
					
PemWeb_02

				
			

			

				

					03-20
				

			

		

		

			
				
【PHP基础及进阶知识点详解】  在IT领域,PHP(Hypertext Preprocessor)是一种广泛使用的开源脚本语言,尤其适合于Web开发。"PemWeb_02"这一资源可能是一个关于PHP学习的项目或者教程,包含了"PHP"标签,意味着我们...

			
		

	





	

		

			

				
					
了解Cookie  txt格式文件

				
			

			

				

					06-01
				

			

		

		

			
				
很好的一遍文章,想了解cookie的朋友们就看吧
   全面了解 Cookie的传递流程、编程实现及安全问题
编者按:Cookie在英文中是小甜品的意思,而这个词我们总能在浏览器中看到,食品怎么会跟浏览器扯上关系呢?在你浏览以前登陆过的网站时可能会在网页中出现:你好XX,感觉很亲切,就好像是吃了一个小甜品一样。这其实是通过访问你主机里边的一个文件来实现的,因此这个文件也就被称为了Cookie。想全面了解Cookie吗?看看下文吧!

			
		

	





	

		

			

				
					
xss攻击语句大全。。

				
			

			

				

					04-16
				

			

		

		

			
				
网站安全测试。。xss漏洞。。免去你输入的麻烦。可以直接复制粘贴。。

			
		

	





	

		

			

				
					
Web安全入门——跨站脚本攻击(XSS

				
			

			

				

					wangluoanquan152的博客
				

				

					01-22
					
					1171
					
				

			

		

		

			
				
跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。
XSS攻击是指黑客通过“HTML注入”篡改网页,插入恶意的脚本,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

			
		

	





	

		

			

				
					
常用XSS插入命令

				
			

			

				

					xu_xy1的博客
				

				

					04-30
					
					2763
					
				

			

		

		

			
				
常用XSS命令合集
   //经典语句,哈哈!

“’>
'><marquee/onstart=confirm(123)>
<img src=”"οnerrοr=“alert(123)”>
%3cimg src%3d%22%22onerror%3d%22alert%28123%29%22%3e
"οnmοuseοver=alert(/xss/)




"’&g...

			
		

	





	

		

			

				
					
网络安全之从原理看懂XSS

				
			

			

				

					Candour_0的博客
				

				

					01-14
					
					624
					
				

			

		

		

			
				
网络安全之从原理看懂XSS

			
		

	





	

		

			

				
					
WEB漏洞篇——跨站脚本攻击(XSS

				
			

			

				

					m0_56634355的博客
				

				

					06-05
					
					4646
					
				

			

		

		

			
				
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指

			
		

	





	

		

			

				
					
XSS编码剖析

				
			

			

				

					Anonymity
				

				

					04-23
					
					571
					
				

			

		

		

			
				
转载:https://www.freebuf.com/articles/web/43285.html
0x00 引言
很多不了解html、js编码的童鞋挖掘xss漏洞时,都是一顿乱插,姿势对了,就能获得快感,姿势不对,就么反应。另外在freebuf里,有很多文章介绍过跨站编码,有兴趣的,可以搜索下。
本文介绍常见的编码方法,能力不足,如有其他意见,请指正。
0x01 常用编码
URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字,例如“/”的URL编码为%2F(一般大写,但不强求)
HTM

			
		

	





	

		

			

				
					
xss-payload

				
			

			

				

					weixin_45095113的博客
				

				

					11-11
					
					984
					
				

			

		

		

			
				
xss攻击载荷

			
		

	





	

		

			

				
					
XSS详解

					
热门推荐

				
			

			

				

					金色%夕阳的博客
				

				

					07-30
					
					1万+
					
				

			

		

		

			
				
XSS详解

    1. 简介
    2. 跨站脚本实例
    3. XSS 的危害
    4. 分类
        4.1 反射型XSS(非持久型)
            漏洞成因
            攻击流程
        4.2 存储型XSS(持久型)
            漏洞成因
            攻击流程
        4.3 DOM型XSS
            漏洞成因
        4.4 通用型XSS
            漏洞成因
          

			
		

	





	

		

			

				
					
渗透测试 ,XSS基础知识

				
			

			

				

					07-23
				

			

		

		

			
				
XSS(Cross-Site Scripting)是一种常见的网站安全漏洞,攻击者通过在网页中注入恶意脚本来攻击用户。以下是关于 XSS基础知识:

1. XSS 的原理:XSS 攻击利用了网站对用户输入的信任,攻击者将恶意脚本注入到网页中,当用户浏览该网页时,恶意脚本会在用户的浏览器中执行,从而达到攻击的目的。

2. XSS 的分类:XSS 可以分为三种主要类型:存储型(Stored XSS)、反射型(Reflected XSS)和 DOM 型(DOM-based XSS)。存储型 XSS 注入的恶意脚本被存储在目标网站的数据库中,当其他用户访问该页面时,恶意脚本会被执行。反射型 XSS 注入的恶意脚本通过 URL 参数传递给目标网站,目标网站在返回的页面中直接输出了这些恶意脚本,用户点击链接时脚本被执行。DOM 型 XSS 则是利用了网页的 DOM 结构,通过修改 DOM 中的内容来触发漏洞。

3. XSS 的危害:XSS 攻击可以导致许多危害,包括盗取用户的敏感信息(如用户名、密码、cookie)、篡改网页内容、进行钓鱼攻击、传播恶意软件等。

4. 防御 XSS 的措施:为了防止 XSS 攻击,可以采取以下措施:
   - 输入验证和过滤:对用户输入的数据进行验证和过滤,过滤掉不可信的字符和脚本。
   - 输出转义:将用户输入的数据进行转义,确保输出到网页时不会被浏览器解析为可执行的脚本。
   - 使用 HTTP 头部中的 Content Security Policy(CSP)来限制网页的资源加载和执行。
   - 设置 HttpOnly 属性来限制 JavaScript 对 cookie 的访问。
   - 定期更新和修复网站的漏洞,以防止攻击者利用已知的 XSS 漏洞。

以上是关于 XSS基础知识,深入了解 XSS 攻击的原理和防御措施对于网站安全至关重要。在进行渗透测试时,理解 XSS 的工作原理和常见漏洞场景可以帮助你更好地发现和利用 XSS 漏洞。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值