设为首页
收藏本站
切换到宽版
登录
立即注册
找回密码
搜索
搜索
本版
帖子
用户
快捷导航
论坛
BBS
VIP用户组
官网群
无名商城论坛
»
论坛
›
资源分享区
›
学习资源专区
›
网络工击之xss跨站攻击入门
返回列表
发帖
查看:
419
|
回复:
0
[其他技术]
网络工击之xss跨站攻击入门
[复制链接]
无名
无名
当前离线
积分
32464
1万
主题
1万
帖子
3万
积分
管理员
积分
32464
发消息
发表于 2022-5-8 18:56:16
|
显示全部楼层
|
阅读模式
XSS简介
XSS 其实是 cross-site scripting(跨域脚本攻击) 的简写。他的重点在于 跨域 以及 脚本 这两个词。为什么会产生这个攻击类型呢?最大的原因在于,网站对于用户的输入过于信任,用户输入什么都可以,服务器也不会对用户的输入进行检查,于是攻击者也便有了可乘之机。
XSS分类
XSS 的分类其实有很多,按照不同的特点进行分类,XSS都能分出很多类别来,例如:反射型XSS、存储型XSS、DOM base XSS、非DOM XSS。本文主要就反射型XSS、存储型XSS来进行讲解。
XSS攻击实施
一、确定网站存在XSS攻击漏洞
在进行XSS攻击之前,我们要确定网站存在XSS攻击漏洞,只有确定了网站存在漏洞,那么才能进行针对这个网站的攻击。一般来说,只要网站有让用户输入的地方,就会有存在漏洞的可能。最常规的做法就是,使用f12来看网站的源码,进而确定注入点在哪里,然后再看看网站是否有相应的防护措施,如果有防护措施的话,就尝试绕过这些检查。
二、构造攻击代码
1、直接输入js代码
直接输入js代码虽然很简单,但是需要注意的是,有可能你找的注入点需要截断以后才能成功注入。例如,你找到了这样的一个注入点:
如果上边的 value 刚好是你找到的注入点,那么,你在注入代码的时候,不能单纯的直接写入js代码,而是需要把value后边的内容给注释掉,类似下边的代码:
"
存在这么简单的漏洞的网站现在很少了,要想真正的实现攻击可没有这么简单。
2、利用HTML标签属性
掩饰的东西
3、利用HTML事件
1
可以利用的事件有很多,例如:onerror 、 onload 、 onsubmit 等。
4、使用字符编码
HTML编码
URL编码
本帖隐藏的内容需要
【资源会员】
才可浏览,您需要升级才可浏览,
点击这里升级【资源会员】
5、拆分法
有的网站会对用户的输入长度做一个限制,这样的话,你可以把一段长的注入代码分成好几段,然后再去注入。大多数的网站,输入长度的限制只是在前端,这个时候我们也可以抓包,然后在包里对应的注入点把自己的代码写进去。
——Markdown的代码高亮怎么怪怪的。。。
注入
,
攻击
,
xss
,
代码
,
网站
相关帖子
•
【FUT】IAPP横条天气
•
【FUT】IAPP图片无限旋转
•
【FUT】iapp计算人品代码
•
【LUR】实用的SEO整体优化方案
•
【LUR】最新PTCMS小说精美多风格四套全新版源码+模板
•
【LUR】各种网页挂马方式原理
•
【DMT】<web安全系列>代码审计,SQL漏洞发现
•
【phoe】邮件群发软件协议,发送速度快,不限制任何内容和行业,显示效果好
•
百度提交网站,百度推送接口,百度推送SEO,百度主动,百度快速收录送自动软件话
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
快速回复
返回顶部
返回列表