浩策盾悟

这类标签允许跨域请求媒体资源，但如果希望操作这些资源（如获取元数据或播放状态），可能需要 CORS（跨域资源共享）支持。在 Web 开发中，跨域（Cross-Origin）是指从一个源（协议、域名、端口）访问另一个源的资源。属性，浏览器允许跨域加载样式表，但样式表中的资源（如图片）可能会受到同源策略的限制。：这类请求的图像不允许访问其他源的响应数据，但浏览器允许跨域请求图像资源。中加载的页面通常不允许访问父页面的 DOM，除非它们在同一源下。标签也可以用于跨域加载外部资源，如 CSS 文件。

Web渗透测试之XSS跨站脚本攻击 跨域是什么？同源机制又是什么？ cors以及Jsonp是什么 一篇文章给你说明白-CSDN博客渗透测试之-XSS 工具推荐-CSDN博客Web渗透测试之XSS跨站脚本攻击 盲打 详解-CSDN博客Web渗透测试之XSS跨站脚本 防御[WAF]绕过手法-CSDN博客Web渗透测试之XSS跨站脚本攻击 一篇文章实体编码以及伪协议Javascript给你说明白-CSDN博客Web渗透测试之XSS跨站脚本之JS输出 以及 什么是闭合标签 一篇文章给你说明白-CSDN博客Web渗透

目标敏感文件泄露，例如：phpinfo之类的探针、"info.php", "phpinfo.php", "test.php", "l.php" GitHub信息泄露等。无论是用社工还是其他手段，拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP，这个太难了，如果要做的话，一般是钓鱼的方式，比如发邮件之类的。RSS邮件订阅，很多网站都自带 sendmail，会发邮件给我们，此时查看邮件源码里面就会包含服务器的真实 IP 了。找到真实IP才是我们做渗透需要真真要做的。

2 伪造一个html页面 写好攻击页面，发送给被攻击者客户端，发给他或者下载，让他触发你的攻击代码，让他输入用户名密码，自动就发送用户cookie发送黑客的网站。针对的是放射性的xss。1 如果是没保存 输出了 确实有xss 那么其他用户是一个新的页面，其他用户看到还是没有攻击的页面，这个时候需要让别人受到攻击咋办，这个时候是没办法插入数据到服务器的。服务端通过这样的方式 就可以把< html特殊符号 就把

其中 '"> 我们称之为完成闭合符号，后面跟script标签来进行攻击，弹出了窗口表示我们的js代码被执行了。封闭标签 达到 让标签值不当成 一个属性值来展示 从而达到xss注入的效果。也就是在页面上输出 输出到js代码页面中去了 在js代码中执行。查看页面源代码在查看js代码执行。把前面的闭合 后面构造自己的js。触发JS代码 生成XSS攻击。

当然如果代码能力不强也可以使用工具，把payload作为字典传入也可以，只是代码有更强大的便利以及灵活性。Payload有很多 自己需要去下下载 一般都是gitee 或者gitbub这个一般去下载就可以了。拿到了payload 就可以自己写代码来时间payload注入了。如果后台过滤，前台没有js的展示，那么就是没有xss漏洞。后台存在很多绕过手法的 渗透测试 就是黑盒测试。抓包工具是不受前端的防御 也 就是浏览器。不同的防范手法是存在不同的绕过手法。如果绕过过滤 绕过后能在前端执行。

XSS介绍的原理和说明XSS介绍的原理和说明嵌入在客户端脚本 对客户端进行攻击的Owstop ten 十大漏洞OWASP（开放式Web应用程序安全项目）的工具、文档、论坛和全球各地分会都是开放的，对所有致力于改进应用程序安全的人士开放，其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。

当管理员打开页面查看什么用户注册了，打开用户信息，从数据库查询出来，管理员中招了xss。我注册了一个网站的用户 注册页面存在xss漏洞跳转到首页 看不到注册信息的输出。那么后台管理人员在操作时就会触发xss来实现攻击者预定好的“真实攻击功能。网站采用了攻击者插入了带真实攻击功能的xss攻击代码。（通常是使用script标签引入远程的js）的数据。而是在其它页面进行xss显示的效果 这种就叫盲打.发现某个页面有xss漏洞 但是注入后没看到效果。登录后台后才发现 后台管理员被打了。盲打主要打的就是后台管理员。

Javascript 伪代码中的引号 是不会被转换成html实体编码 某个方法的值了。对alert中的内容进行html实体编码(ascii十进制编码)+url编码。我们在做编码绕过的时候，我们最终输出到哪里从而产生的漏洞，最终的目的地。对整体进行html实体编码(ascii十进制编码)+url编码，不能解析。对javascript进行unicode编码+url编码，不能解析。对alert进行unicode编码+url编码 #可以解析执行。但是当这种编码成为某个属性值的时候js是可以解析成正常的值得。

1. 使用HTML实体编码2. 大小写混合3. 利用JavaScript事件4. 利用URL编码5. 使用不完整的HTML标签6. 利用编码绕过7. 使用不寻常的标签8. 利用CDATA9. 利用注释10. 使用文档对象模型（DOM）11. 利用HTML5功能12. 使用特殊字符13. 利用外部脚本14. 使用IFrame15. 利用CSS注入16. 使用数据URI17. 利用SVG18. 使用Base64编码19. 利用JavaScr

2 伪造一个html页面 写好攻击页面，发送给被攻击者客户端，发给他或者下载，让他触发你的攻击代码，让他输入用户名密码，自动就发送用户cookie发送黑客的网站。1 如果是没保存 输出了 确实有xss 那么其他用户是一个新的页面，其他用户看到还是没有攻击的页面，这个时候需要让别人受到攻击咋办，这个时候是没办法插入数据到服务器的。会找到html标签【元素 节点】我们说的元素 也是标签 标签元素 ，标签的属性，属性也是元素 属性元素。当用户的浏览器处理这个响应时，DOM对象就会处理CSS代码，导致XSS漏洞。

Cookie的Httponly属性和逃过方式表单劫持网站劫持登陆页面有xss漏洞 最好是存储类型的获取浏览器的保存的密码 xss攻击行为浏览器同源机制为了避免恶意请求别人的网站的情况，浏览器出了一个同源机制IP地址 域名都是不一样的唯一的协议域名或者叫主机名或者IP端口浏览器不会做响应数据的拦截 防止恶意请求别人的数据同源机制非同源网站 script scr 不受同源机制的影响cors跨域和jsonp跨域和跨域标签绕过同源机制 进行数据交互 跨域。