存储型xss利用思路

最新推荐文章于 2024-01-21 08:00:00 发布
最新推荐文章于 2024-01-21 08:00:00 发布
阅读量973 收藏 3
点赞数
文章标签: xss 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45698828/article/details/127480886
版权

一,基本概念

xss原理:用户输入的数据当作前端代(js)执行(js能操作游览器)

XSS类型:
       反射型:一次性的东西,传参里面要有攻击代码 ,必须要想办法让管理访问这个链接,

可是使用短链接工具进行缩短更具迷惑性;
      存储型:存储到网站里面(数据库、日志或者其他东西)
                不带攻击传参,访问链接,如果生效就是存储型XSS
      Dom型:广义的定义:只要JS参与其中的XSS都可以认为是Dom型XSS

                    狭义的定义:1、JS参与其中 2、不向目标发送数据包打出XSS  3、用到document、                                                  windows、location

二,一些利用思路

存储型xss是怎么操作的

嵌入到了web页面的恶意代码被存储到服务器上,例如你注册时候将用户昵称设置为XSS恶意代码,那么访问某些页面会显示用户名的时候就会触发恶意代码。

存储型xs

最低0.47元/天 解锁文章
weixin_45698828
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
靶场日记-存储xss漏洞利用
Fengsheng96的博客
09-08 318
靶场环境 解题思路 通过阅读题目,已经了解到靶场留言板存在存储XSS漏洞,flag在cookie里,存储XSS(Stored XSS) 又称为持久跨站点脚本,它一般发生在XSS攻击向量(一般指XSS攻击代码)存储在网站数据库,当一个页面被用户打开的时候执行。每当用户打开浏览器,脚本执行。持久的XSS相比非持久性XSS攻击危害性更大, 因为每当用户打开页面,查看内容时脚本将自动执行。所以我们只要通过一些在线的XSS平台获取管理员cookie,flag就在管理员cookie里就解决了。 登陆一个在线x
【网络攻防】“跨站脚本攻击” 第二弹 ——存储XSS
翼安研习社的博客
02-04 1612
撰稿|谢泳 编辑|王聪丽、虞珍妮 信息收集|谢泳 目录1. 前言2. 什么是存储XSS3. 攻击原理4. 防御方式 1. 前言 上一篇介绍了跨域脚本攻击中的“反射XSS”,列举和解释了恶意脚本注入的一些主要方式以及规避方法。事实上,除了直接注入JavaScript之外,还可以通过第三方比如flash、Java applet等进行攻击。 这些第三方工具有自己的运行环境,例如flash中使用ActionScript作为脚本,可以实现丰富灵活的功能,也为XSS提供了可乘之机,所以要避免加载用户自定义..
第十三章—手动漏洞挖掘(十)——XSS(三)
weixin_43876557的博客
04-09 1058
存储XSS 1. 概述 反射xss存储xss的区别是: 反射xss需要一系列的社会工程学等各种欺骗方式诱使别人点击你发送给他的连接地址,利用起来较麻烦。 存储xss漏洞利用之后造成的威胁性更大,利用难度也较容易一些。 存储xss利用代码长期存储在服务器端。渗透测试者一次性发起漏洞利用代码后,利用代码就会注入到服务器存在漏洞的页面,之后每当有人访问该页面,都会从服务器下载这段攻击性的代码脚本,在本地浏览器中执行。只要渗透测试者攻击后开着主机侦听端口等待有人访问该网页,就会像钓鱼一样上钩,客户端
XSS详解及其利用方式
读书 买花 长大
11-14 3926
XSS-xss
XSS漏洞利用方式总结
XunanSec的博客
05-21 4780
前言: 最近一直在挖漏洞,碰到的XSS漏洞最多了,今天就顺便来讲一下,如有错的地方,烦请指出。 00×1什么是XSS漏洞: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 ​ 00×2 XSS漏洞有什么危害: 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 ...
XSS(存储)利用和实战
qidiandexiaowu
09-09 1998
接着上篇的继续更!!!、 等级为:low 正常填写,emmmmm !!! 构造payload:<script>alert(/XSS/)</script> 查看源码: <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] );
CSRF思路分享.docx
04-14
首先,我们需要了解发送的数据包内容,打开讲到的XSS平台,创建一个csrf的项目,然后编写我们的代码,粘到项目的代码配置中去,然后把我们的可利用代码通过留言的存储XSS漏洞存入到我们的目标站点中去。...
网站架构文档
01-24
本文档主要探讨了像Facebook、淘宝、豆瓣这样的大网站如何构建其基础架构,虽然并未深入到每个细节,但对于理解这些知名网站的架构设计思路具有很大帮助。 一、基础架构概述 大网站的基础架构通常包括前端、...
的人才求职招聘网站系统源码php人才网站模板
08-20
1. 数据库设计:MySQL或PostgreSQL用于存储用户信息、职位数据等,通过索引优化提升查询效率。 2. 安全性:使用HTTPS协议加密传输,防止数据泄露;SQL预编译防止SQL注入;XSS防护确保网页安全。 3. 性能优化:使用...
CTF:用于存储与CTF相关的内容(Writeup等)的回购
05-04
3. **DOM XSS**:与传统的存储和反射XSS不同,DOM XSS是由于JavaScript动态操作DOM(文档对象模)导致的安全漏洞。防御方法是避免信任用户的输入,并正确处理数据。 4. **JavaScript混淆与逆向**:在CTF比赛...
在线机票预定网站系统源代码
02-26
4. **数据库管理**:MySQL、PostgreSQL或MongoDB等数据库用于存储用户信息、航班信息、订单数据等。数据库设计需遵循正常化原则,保证数据的一致性和完整性。 5. **搜索功能**:系统可能集成全文搜索引擎如Elastic...
xss存储
xu_1234567的博客
11-04 4735
1.存储xss原理 存储xss是hacker向服务器注入一段js代码,代码存储到服务器的数据库中,每当用户访问服务器当中带有js代码的数据时,服务器将响应用户,返回给用户一个带有js代码页面 2.xss存储low级演示 1.将DVWA级别设置为低级 分析源码,可以看到首先对两个参数使用trim函数过滤掉两边的空格,然后$message使用mysql_real_escape_string函数转义SQL语句中的特殊字符,使用stripslashes函数过滤掉”\”,对$name参数中使用mysql_re
XSS漏洞的利用
LizePing_的博客
07-29 4703
XSS利用利用XSS窃取cookieXSS修改网页XSS获取用户信息XSS+CSRF 组合拳盲打XSS(Blind XSS)利用开启HttpOnly下的利用1.phpinfo页2.框架钓鱼3.跳转钓鱼4.历史密码5.获取源码6.通过xss伪造oauth等授权请求,远程登录其它 利用XSS窃取cookie 窃取cookie是xss利用最常见的手段,攻击者有了cookie就相当于拥有了“管理员”身份。 通常需要配合xss平台来进行攻击,当被攻击者访问到有恶意代码的页面,他的cookie就会被发送到xss平台。
XSS漏洞利用---存储XSS钓鱼
Ethan024的博客
03-13 1067
XSS漏洞利用(本文仅供技术学习与分享) 存储XSS漏洞之钓鱼 实验准备 pikachu平台为存在XSS漏洞平台的站点; 用户正常访问该站点; 攻击者搭建的,以供收集数据的后台(皮卡丘后台预备好了pkxss平台); 实验思路(使用basic认证做钓鱼) 制作钓鱼鱼儿:WWW Authenticate:Basic 即:在存在XSS漏洞的页面上嵌入请求(JavaScript或其他链接)。当用户点击打开嵌入恶意代码页面的时候,该页面会向后台发送请求,该请求会要求用户返回basic认证。因此在用户界面就会弹出
5.6 XSS跨站脚本攻击
qq_55202378的博客
08-05 721
XSS DVWA
存储XSS简介
热门推荐
seek_2022的博客
05-05 1万+
文章目录一、存储XSS简介(一)存储XSS的概念(二)存储XSS攻击过程(三)打XSS的潜在风险二、XSS平台使用方法三、靶场实战 一、存储XSS简介 (一)存储XSS的概念 存储XSS又称持久XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种
【web-攻击用户】(9.1.5)查找并利用XSS漏洞--存储
08-27 696
【查找并利用XSS漏洞】存储
XSS漏洞:利用多次提交技巧实现存储XSS攻击
最新发布
qq_68163788的博客
01-21 2292
存储XSS(Cross-Site Scripting)是一种Web应用程序安全漏洞,攻击者通过在受害者的浏览器上执行恶意脚本,从而获取用户的敏感信息。存储XSS攻击的主要原理是将恶意脚本存储在服务器端,然后当用户访问包含该恶意脚本的页面时,恶意脚本会被执行。 攻击者通常会在受害者能够输入内容的地方(例如论坛、博客评论、搜索框等)注入恶意脚本。当其他用户访问包含恶意脚本的页面时,他们的浏览器会执行这些脚本,从而导致攻击者能够窃取用户的会话令牌、cookie或其他敏感信息。
存储XSS攻击的简单处理以及数据库查询过滤多个字段重复数据
PSY_God的博客
08-24 3265
 问题:储存Xss是由于form表单提交的数据,前端和后台未进行过滤,将一些javascript的脚步语言存入数据库中。导致再次查询数据的时候浏览器会执行该脚步语言。如:&lt;script&gt;alert("XSS")&lt;/script&gt;。 解决方案:主要是后台的过滤,部分可绕过前端直接输入。 解决思路:采用过滤器过滤用户的输入,将一些敏感的信息直接replaceAll即可。过...
反射XSS存储XSS的区别
05-24
反射XSS存储XSS都是常见的Web攻击类,它们的区别在于攻击者注入恶意代码的方式和攻击的后果。 反射XSS是指攻击者通过构造特定的URL链接或提交包含恶意脚本的表单数据等方式,将恶意脚本注入到网站的响应中,从而使得用户在访问该链接或提交表单后,恶意脚本会被浏览器解析执行,达到攻击的目的。这种攻击方式通常只会影响到当前用户。 而存储XSS则是指攻击者将恶意脚本注入到网站的数据库或其他存储介质中,当用户访问包含恶意脚本的页面时,恶意脚本会被加载并执行,从而危害到所有访问该页面的用户。这种攻击方式通常会对网站的数据造成破坏或者窃取用户的敏感信息。 因此,反射XSS主要是针对单个用户的攻击,攻击效果比较有限,而存储XSS则是一种更为严重的攻击方式,可以对整个网站产生影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值