22、渗透测试笔记_XSS跨站脚本_20191120

最新推荐文章于 2023-05-17 16:49:52 发布
最新推荐文章于 2023-05-17 16:49:52 发布
阅读量636 收藏 2
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44023693/article/details/103166834
版权
1、XSS介绍
  • xss是一种经常出现在web应用程序中的计算机安全漏洞,是由于web应用程序对用户的输入过滤不严而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采用cookie资料窃取,会话劫持,钓鱼欺骗等攻击手段
2、XSS的危害
  • 网络钓鱼,包括盗取各类的用户账号
  • 窃取用户cookie
  • 窃取用户浏览会话
  • 强制弹出广告页面、刷流量
  • 网页挂马
  • 提升用户权限,进一步渗透网站
  • 传播跨站脚本蠕虫等
3、XSS分类

3.1、反射型XSS

  • 反射型跨站脚本也称作为持久性、参数型跨站脚本、这类型的脚本是最常见的,也是使用最广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中
  • 一般使用的将构造好的URL发给受害者,是受害者点击触发,而且只执行一次,非持久化

3.2、存储型XSS

  • 存储型xss比反射型跨站脚本更具威胁性,并且可能影响到web服务器的自身安全
  • 此类XSS不需要用户点击特定的URL就能执行跨站脚本,攻击者事先将恶意JavaScript代码上传或存储到漏洞服务器中,只要受害者浏览包含此恶意的代码的页面就会执行恶意代码
4、手工挖掘XSS漏洞

  • 得到一个站点:http://www.abc.com/xxx.php?id=1

  • 测试用户输入的地方、文件上传地方、flash等

  • 闭合标签

    <script>alert(1)</script>
'"><script>alert(1)</script>
<img/src=@ onerror=alert(1)/>
'"><img/src=@ onerror=alert(1)/>
5、XSS绕过限制

  • 当具有XSS漏洞,但是却有XSS过滤规则或者WAF保护导致我们不能成功利用,比如我们输入,这样XSS不会生效;

  • 绕过XSS的方法

    绕过magic_quotes_gpc

    编码(复杂的关键字过滤)

    改变大小写(简单的关键字过滤)

    关闭标签

__Qian
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试--xss
酷狗直播-锦凡歆的博客
12-22 720
作者: 锦凡歆在‘来疯’直播唱歌最好听 跨站脚本攻击 XSS 漏洞概述 - 简介 XSS 作为OWASP TOP 10 之一, XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS跨站脚本攻击)主要基于javascrip...
渗透测试XSS脚本
qq_49091880的博客
04-17 2456
一、XSS脚本的特点 1.XSS最大的特点就是能注入恶意的代码到用户流浪器的网页上, 从而达到劫持用户会话的目的。 2.跨站脚本 是一种经常出现在web应用程序中的计算机安全漏洞,是由于web应用程序对用户 的输入过滤不严产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页中,当其他 用户浏览这些网页的时候,就会执行其中的恶意代码,对受害用户可能采用cookie资料 窃取,会话劫持,钓鱼欺骗等攻击手段。 3.XSS脚本实例 <html> <head>xss<
渗透测试笔记】七、XSS跨站脚本漏洞
【User Not Found】的博客
04-25 838
We are all in the gutter, but some of us are looking at the stars. 身在井隅,心向璀璨。 本文仅供学习交流,正确使用渗透测试,遵守相关法律法规,请勿用于非法用途。 目录实验环境关于漏洞漏洞挖掘1. Reflected Cross Site Scripting (XSS)2. beef xss framework 实验环境 本实验...
渗透测试 | 一次利用XSS读取源码
MachineGunJoe666
05-17 772
常规的XSS利用方式主要有窃取cookie、恶意链接、获取键盘记录、网页钓鱼、挂马等等,本次渗透首先通过XSS漏洞,利用XMLRequest发起ajax请求,实现了发起http请求的目的,并且把请求的结果返回了,通过代码审计,打开了突破的口子。后续还运用到了Nosql注入、绕过2FA验证、kdbx文件解密等等技术,渗透过程涉及很多小的知识点,充满乐趣与挑战,下面开始此次渗透之旅。
渗透测试学习 十七、 XSS跨站脚本漏洞详解
weixin_30480651的博客
05-13 245
一般用途:拿cookie进后台,将后台地址一起发送过来 特点:挖掘困难,绕过困难 大纲: XSS漏洞基础讲解 XSS漏洞发掘与绕过 XSS漏洞的综合利用 XSS漏洞基础讲解   XSS介绍:     跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS...
读书笔记之python渗透测试.docx
04-13
5. **其他黑盒测试工具**:还包括各种专门针对特定场景设计的工具,如针对XSS漏洞的测试工具XSStrike,能够帮助用户快速定位和验证跨站脚本攻击的可能性。 #### 白盒测试工具 1. **RIPS**:一款开源的PHP代码审计...
Web-安全渗透全套教程20XSS跨.zip
05-22
【标题】"Web-安全渗透全套教程20XSS跨.zip"揭示了这是一份关于Web安全渗透测试的教育资料,特别关注XSS(Cross-Site Scripting,跨站脚本攻击)这一主题。XSS是一种常见的网络安全漏洞,攻击者通过注入恶意脚本到...
【推荐】最新超全的渗透测试学习基础教程集合(84份).zip
08-04
18.XSS跨站脚本攻击原理及代码攻防演示(一); 19.Powershell基础入门及常见用法(一); 20.Powershell基础入门及常见用法(二); …… 共84份,太多了就不一一列举了,喜欢的可以下载学习……
MiscSecNotes:有关Web应用程序安全性,渗透测试的一些学习笔记
05-01
此系列文章是本人关于学习 Web/Cloud/Docker 安全、渗透测试、安全建设等时记录的一些笔记,部分原创,部分是对网上文章的理解整理。如果可以找到原始参考链接时则会在文末贴出(如 乌云很多链接已失效,或者记不起...
Python_Study Notes For Web Hacking Web安全学习笔记.zip
最新发布
05-24
4. Web漏洞:笔记可能详细介绍了常见的Web安全漏洞,如SQL注入、XSS跨站脚本)攻击、CSRF(跨站请求伪造)等,以及如何利用Python检测和利用这些漏洞。 5. 框架安全:对于像Django和Flask这样的Python Web框架,...
Web安全测试笔记
04-04
跨站脚本XSS跨站脚本是另一种常见的Web安全漏洞,攻击者可以通过在网页上插入恶意脚本来窃取用户的数据。为了检测XSS漏洞,可以采取以下措施: - **DOM XSS测试**:检查客户端脚本处理输入的方式,确保不会...
devalias-pentest:道德黑客渗透测试相关注释和信息的集合
06-10
1. **XSS跨站脚本攻击)**:HTML注入是XSS攻击的一种常见形式,攻击者通过在网页中插入恶意脚本,获取用户的敏感信息。了解HTML的基本结构和特性,有助于测试人员检测和防止此类漏洞。 2. **CSRF(跨站请求伪造)...
eLearnSecurity eWPTX Notes Basic by Joas.pdf
10-06
跨站脚本攻击(XSS)是指攻击者在Web页面中注入恶意脚本,从而控制用户的浏览器行为。常见的XSS攻击类包括:反射XSS存储XSS、Self-XSS等。 8. SQL注入攻击 SQL注入攻击是指攻击者通过inject恶意SQL代码来...
300页+文档及就业面试题.rar
04-22
这包括了web应用的安全测试,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。 至于“黑客”这一标签,虽然在很多场合下带有负面色彩,但在IT安全领域,黑客技术是指利用技术手段来寻找并修复系统漏洞的专业知识。...
CTF线下AWD脚本合集.zip
03-31
2. **自动化攻击脚本**:针对常见漏洞的利用脚本,例如SQL注入、XSS攻击等,可以一键执行。 3. **漏洞检测库**:包含了各种已知漏洞的信息,帮助选手识别和利用它们。 4. **防御脚本**:用于加固自己的服务器,...
Web渗透测试-Xss跨站脚本攻击(Cross Site Scripting)
aming小老弟
01-29 4739
Xss通用明文 &&表单劫持 跨站脚本攻击漏洞概念, 漏洞原理和危害, 掌握反射存储XSS漏洞利用方法 每天一个网安开发小技巧——XSS扫描器 – 自动刷SRC w13scan的xss扫描功能进行优化 灵感注入xray所引起的基于语义的扫描技术。 xss扫描之前是w3afxss payload,通常在以下几个部分。 Xsstrike,Xray,Awvs中的检测技巧以及检测参数 XSStrike 先说说Xss
web渗透测试
05-08
Web渗透测试教程,该课程侧重于讲解Web安全,并通过实验详细分析常见的十种Web漏洞、漏洞利用过程等。
渗透测试xss跨站脚本攻击
weixin_45380284的博客
03-05 1135
xss跨站脚本攻击 理论 1.定义: xss跨站脚本攻击是一种web应用程序的安全漏洞,主要是由于web应用程序对用户的输入过滤不足而产生的,攻击者在web页面中插入恶意脚本代码,在用户浏览网页的时候,嵌入其中的恶意代码就会被执行,攻击者就会对受害用户进行cookie资料窃取、会话劫持、钓鱼欺骗等行为。 2.分类: 反射xss(reflected xss存储xss(stored xss) domxss(dom-based xss) mxss (突变xss) uxss(通用xss) flash
web渗透--20--跨站脚本攻击(XSS
武天旭的博客
09-15 5520
1、漏洞名称 存储XSS跨站脚本,反射XSS跨站脚本 2、漏洞描述 跨站脚本攻击的英文全称是Cross Site Script,为了和样式表区分,缩写为XSS。发生的原因是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行跨站脚本攻击它指的是恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页之时,嵌入其中Web里面的JavaScript代...
eLearnSecurity eWPT渗透测试笔记概览
12. **跨站脚本攻击(XSS)**:包括反射存储XSS,攻击者利用恶意脚本在受害者浏览器上执行操作。 13. **渗透测试方法论**:一套系统化的流程,包括目标选择、信息收集、漏洞利用和报告编写等环节。 14. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值