存储型XSS漏洞-详细教学

最新推荐文章于 2024-05-07 17:41:30 发布
最新推荐文章于 2024-05-07 17:41:30 发布
阅读量2.8k 收藏 12
点赞数 1
分类专栏: pikachu 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45873667/article/details/116976765
版权

存储型XSS漏洞:

存储型XSS漏洞跟反射型形成的原因一样,不同的是存储型XSS下攻击者可以将脚本

注入到后台存储起来,构成更加持久的危害,因此存储型XSS也称“永久型”XSS。

实验演示:

看到这是一个留言板,我们随意输入字符,发现输入的字符会存在后台或者存在了配置文件当中。
在这里插入图片描述接下来,我们测试这里是否存在xss漏洞,我们输入一些特殊字符:’”<>?&666666666666,点击提交。
在这里插入图片描述发现我们的输入直接被当作留言显示出来。我们再看页面源码。
在这里插入图片描述我们的输入都被原封不动的输出了,说明没有做任何的转义和过滤的处理。
输入一个简单的payload,做个测试。流程是:从前端把这个payload交给了后台,后台存下来之后,在刷新页面将页面显示出来。

<script>alert("xss")</script>

在这里插入图片描述提交之后,就把弹窗显示了出来。意味这,我们输入的留言被存入数据库当中了。
存储型和反射型的区别就是,当你重新访问的这个页面的时候,它依然会显示弹窗,这个留言被存到了数据库当中,每次访问都会触发脚本的运行。
由此可知,存储型的xss造成的是持久性的危害,所有访问的用户都会中招。

菜狗就不能打游戏了吗
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web安全之XSS漏洞详解
hack0919的博客
04-17 1527
常见的XSS漏洞危害有:cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等
存储XSS漏洞
A1956936030的博客
10-21 2689
什么是存储XSS: 攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存XSS的危害会更大。因为存储XSS的代码存在于网页的代码中,可以说是永久的。 1.弹框测试 添加js,选择alert.js 点击生成payload并复制 复制 ...
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
最新发布
喜欢Python编程的程序员柚柚呀
05-07 920
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS漏洞
weixin_50340347的博客
06-19 773
xss(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面插入恶意JS代码,这些代码在HTML解释时会被当做脚本执行,所以当用户请求该网页时,嵌入其中JS代码就会被执行,从而达到攻击的目的.
xss漏洞简述
h3110n3w0r1d
04-05 2353
1.xss漏洞简介 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比 如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨...
存储xss漏洞
安全界的彭于晏的博客
06-29 1113
存储XSS漏洞反射形成的原因一样,不同的是存储XSS下攻击者可以将脚本 注入到后台存储起来,构成更加持久的危害,因此存储XSS也称’'永久XSS.
YXcms-含有存储XSS漏洞的源码包
03-17
YXcms-含有存储XSS漏洞的源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
DedeCMS 存储xss漏洞1
08-03
【DedeCMS 存储 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms-含有存储XSS漏洞的源码包,亲测真实有效,可用,如有侵权,请联系CSDN管理员删除即可
ourphp存储xss漏洞1
08-03
OurPHP存储XSS漏洞详解 OurPHP是一个由哈尔滨伟成科技有限公司开发的PHP内容管理系统,主要用于构建网站。在OurPHP 1.7.3版本中发现了一个存储跨站脚本(XSS漏洞,这给系统的安全性带来了严重威胁。存储XSS...
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
Pikachu靶场之XSS漏洞详解
热门推荐
m0_46467017的博客
05-13 1万+
Pikachu靶场之XSS漏洞详解前言XSS漏洞简述第1关 反射xss(get)第2关 反射性xss(post)第3关 存储xss第4关 DOMxss第5关 DOMxss-x第6关 xss盲打第7关 xss之过滤第8关 xss之htmlspecialchars第9关 xss之href输出第10关 xss之js输出 前言 本篇文章用于巩固对自己xss漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu XSS Cross-Site Scripting皮卡丘漏洞平台通关系列 链接: P
xss靶机训练【实现弹窗即成功】
Miracle_ze的博客
07-29 3714
xss的绕过
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4923
【Java代码审计】XSS漏洞产生原理及其修复
XSS跨站脚本安全漏洞防护
Zyw907155124的博客
06-05 1605
存储XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。存储XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储XSS攻击。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储XSS攻击。
存储XSS攻击预防措施完整教程
2301_76418831的博客
05-03 1112
存储 XSS 攻击(Stored XSS Attack)是指攻击者将恶意代码存储到服务器端,然后通过用户访问被攻击的网站时触发恶意代码,从而进行攻击。
XSS 存储漏洞解决
qq_33391644的博客
07-21 1316
XSS漏洞修复 网上方案不得不妨看一下,网上方案优化之后的代码
漏洞payload 靶机_web系统从开发到渗透(一)浅谈存储XSS漏洞危害
weixin_36412332的博客
12-16 512
什么是XSS:Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS的本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在...
反射XSS存储XSS的区别
05-24
反射XSS存储XSS都是常见的Web攻击类,它们的区别在于攻击者注入恶意代码的方式和攻击的后果。 反射XSS是指攻击者通过构造特定的URL链接或提交包含恶意脚本的表单数据等方式,将恶意脚本注入到网站的响应...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值