教你玩转XSS漏洞
什么是存储性XSS那? 通俗理解就是”xss“语句存在服务器上,可以一直被客户端浏览使用,所有登陆某一个存在”存储性xss“的页面的人,都会中招,可以是管理员,可以是普通的用户,所以他的危害是持续性的,造成的后果也是巨大的。
跨站脚本(XSS, Cross Site Script)攻击指的是,攻击者可以让某网站执行一段非法脚本。这种情况很常见,比如提交一个表单用于修改用户名,我们可以在文本框中输入一些特殊字符,比如 <, >, ‘, ” 等,检查一下用户名是否正确修改了。
假如有下面一个textbox
<input type=”text” name=”address1″ value=”value1from”> value1from是来自用户的输入,如果用户不是输入value1from,而是输入 “/><script>alert(document.cookie)</script><!- 那么就会变成 <input type=”text” name=”address1″ value=”"/><script>alert(document.cookie)</script><!- “>嵌入的JavaScript代码将会被执行 或者用户输入的是 “onfocus=”alert(document.cookie) 那么就会变成
<input type="text" name="address1" value="" onfocus="alert(document.cookie)">事件被触发的时候嵌入的JavaScript代码将会被执行,攻击的威力,取决于用户输入了什么样的脚本。 推荐几个视频,带你一步一步从入门到精通~ 推荐1 认识XSS <<<< 立即查看 XSS是一种经常出现在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。 对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode” 推荐2 XSS介绍及原理、初阶到高阶 <<<< 立即查看 XSS的原理及存储型XSS、反射型XSS、DOM型XSS的实战详解以及XSS辅助工具的学习;第二章主要学习多种XSS不同场景下不同的方法及Bypass技巧详解;第三章属于补充章节,主要讲一些XSS相关有趣的技术,如:Electron跨平台XSS执行系统命令、变种XSS:持久控制、以及MVVM模式下的XSS场景等,该章节不定期更新,有好玩的技术则会补充。 推荐3 Django debug page XSS漏洞(CVE-2017-12794) <<<< 立即查看 Django发布了新版本1.11.5,修复了500页面中可能存在的一个XSS漏洞,在其1.11.4版本中,我们重点关注的就是django/views/debug.py。此文件存在XSS漏洞,恶意访问者可利用其漏洞获取敏感信息,甚至可以威胁到服务器安全。 推荐4 Roundcube邮件正文存储型XSS(CVE-2017-6820) <<<<< 立即查看 邮箱存储型XSS漏洞像是一个定时炸弹,随时可能引爆整个网络世界。每个人都会惴惴不安,惶惶不可终日。网络的危险性随着光纤的传播,将会蔓延到世界的每个角落。 更多内容传送门<<<<<
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 澳门是伟大祖国的一方宝地 7982121
- 2 80岁顶级富豪再婚娶33岁华裔妻子 7968717
- 3 星巴克大罢工 7829535
- 4 2024 向上的中国 7796091
- 5 赵丽颖带儿子探班 7658485
- 6 男子钓上一条自带“赎金”的鱼 7594629
- 7 美国女子在地铁上被男子点燃身亡 7475116
- 8 柳岩谈44岁女演员的尴尬 7338058
- 9 唐尚珺35岁读大一 7265855
- 10 武警江西省总队原总队长施文求逝世 7171140