一、反射性XSS原理和特性
1、简介
原理:前端代码注入,用户输入数据被当做前端代码执行。
XSS拼接的主要是网页的HTML代码,XSS就是拼接恶意的HTML
用途:
盗取Cookie,获取内网IP,获取浏览器保留的明文密码,截取网页屏幕,网页上的键盘记录
类型:
反射型XSS:提交的数据成功地实现,仅仅是对这次访问产生影响,非持久型攻击。传参里必须要带着恶意语句。
反射型XSS代码需要骗管理员打开,所以这里可以使用短网址使得他人轻易点开
短网址方法:将长链接变为短链接去让别人点击。 推荐:https://4m.cn/
存储型XSS:提交数据成果共实现并存入了数据库,别人访问这个页面的时候就能自动触发
DOM型XSS
浏览器的同源则略:A网站只能访问A的cookie,B网站只能访问B的cookie,这样限制了Cookie的作用域(同源:同域名,同端口,同协议)
注意:谷歌浏览器对简易型XSS有一定预防,只防反射型XSS,不防范存储型XSS。
2、触发核心:
让前端执行输入的前端代码(JS)
(1)<scipt>alert(1)</script>
(2)伪协议&