XSS基础知识_02

文章目录存储型XSS手工(低安全级别)自动化XSSBeFF简介BeFF基础存储型XSS存储型XSS(持久型XSS)即攻击者将带有XSS攻击的连接放在网页的某个页面,例如评论框等;用户访问此XSS链接并执行,由于存储型XSS能够攻击所有访问此页面的用户,所以危害极大。手工(低安全级别)1.攻击1攻击1 弹框警告:渗透机kali Linux端操作text1<script>al...
摘要由CSDN通过智能技术生成

存储型XSS

存储型XSS(持久型XSS)即攻击者将带有XSS攻击的连接放在网页的某个页面,例如评论框等;用户访问此XSS链接并执行,由于存储型XSS能够攻击所有访问此页面的用户,所以危害极大。

手工(低安全级别)

1.攻击1

攻击1 弹框警告:渗透机kali Linux端操作
text1
<script>alert('yangge')</script>

在这里插入图片描述
提交后弹框‘yangge’
在这里插入图片描述
http://192.168.122.129/dvwa/vulnerabilities/xss_s/

以后只要用户点击 ‘XSS stored’ 进入该页面就弹框警告。

肉鸡win7操作:
在这里插入图片描述
2.攻击2

攻击2 获取cookie:渗透机Kali Linux端此操作
1>构建收集cookie服务器
2>构造XSS代码并植入到web服务器
3>等待肉鸡触发XSS代码并将cookie发送到Kali Linux
4>Cookie利用

(1)构建收集cookie服务器 --Kali Linux

1)在Kali上启动Apache服务器

root@kali:~# service apache2 start

2)构建XSS代码


                
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS(Cross-Site Scripting)是一种常见的网站安全漏洞,攻击者通过在网页中注入恶意脚本来攻击用户。以下是关于 XSS基础知识: 1. XSS 的原理:XSS 攻击利用了网站对用户输入的信任,攻击者将恶意脚本注入到网页中,当用户浏览该网页时,恶意脚本会在用户的浏览器中执行,从而达到攻击的目的。 2. XSS 的分类:XSS 可以分为三种主要类型:存储型(Stored XSS)、反射型(Reflected XSS)和 DOM 型(DOM-based XSS)。存储型 XSS 注入的恶意脚本被存储在目标网站的数据库中,当其他用户访问该页面时,恶意脚本会被执行。反射型 XSS 注入的恶意脚本通过 URL 参数传递给目标网站,目标网站在返回的页面中直接输出了这些恶意脚本,用户点击链接时脚本被执行。DOM 型 XSS 则是利用了网页的 DOM 结构,通过修改 DOM 中的内容来触发漏洞。 3. XSS 的危害:XSS 攻击可以导致许多危害,包括盗取用户的敏感信息(如用户名、密码、cookie)、篡改网页内容、进行钓鱼攻击、传播恶意软件等。 4. 防御 XSS 的措施:为了防止 XSS 攻击,可以采取以下措施: - 输入验证和过滤:对用户输入的数据进行验证和过滤,过滤掉不可信的字符和脚本。 - 输出转义:将用户输入的数据进行转义,确保输出到网页时不会被浏览器解析为可执行的脚本。 - 使用 HTTP 头部中的 Content Security Policy(CSP)来限制网页的资源加载和执行。 - 设置 HttpOnly 属性来限制 JavaScript 对 cookie 的访问。 - 定期更新和修复网站的漏洞,以防止攻击者利用已知的 XSS 漏洞。 以上是关于 XSS基础知识,深入了解 XSS 攻击的原理和防御措施对于网站安全至关重要。在进行渗透测试时,理解 XSS 的工作原理和常见漏洞场景可以帮助你更好地发现和利用 XSS 漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值