首页 > 其他分享 >XSS基本入门

XSS基本入门

时间:2023-11-25 22:14:35浏览次数:35  
标签:基本 XSS 入门 xss 攻击 cookie 攻击者 管理员

xss简单介绍

xss概念

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。

xss危害

  • 流量劫持
  • 获取用户cookie信息,盗取账号
  • 篡改、删除页面信息(钓鱼)
  • 配合CSRF攻击,实施进一步攻击

xss分类

  • 反射型XSS:反射型XSS也被称为非持久性XSS,当用户访问一个带有XSS代码的HTML请求时,服务器端接收数据后处理,然后把带有XSS的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,就造成XSS漏洞,这个过程就像一次反射,所以叫反射型XSS。
  • 存储型XSS:存储型XSS又被称为持久性XSS,存储型XSS是最危险的一种跨站脚本漏洞,当攻击者提交一段 XSS代码后,被服务端接收并存储,当攻击者或用户再次访问某个页面时,这段XSS代码被程序读出来响应给浏览器,造成XSS跨站攻击,这是存储型XSS。
  • DOM型:不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的。

xss平台

XSS Platform

xss基本注入

<script>alert('XSS')</script>
<scr<script>ipt>alert('XSS')</scr<script>ipt>
"><script>alert('XSS')</script>
"><script>alert(String.fromCharCode(88,83,83))</script>

实验过程

盗取cookie

模拟一个场景,被攻击人有一个网站

他的账号为最高管理员权限账号

攻击者需要攻击获取管理员账号

img

攻击者注册账号后登陆网站,发现网站存在搜索页面

img

如此,该网站可能存在xss攻击漏洞

对此,攻击者构建一个存在xss攻击的钓鱼链接

攻击者获取到了管理员的联系方式,可以发送信息

发送一个钓鱼链接给管理员

img

被攻击者点开链接后发现是一个钓鱼链接

但发现时攻击者已经获取到管理员的cookie了

img

img

然后利用cookie工具改cookie就可以登录管理员账号

img

Xss闯关

Xss-labs wp 1~10 – 青嵐

标签:基本,XSS,入门,xss,攻击,cookie,攻击者,管理员
From: https://www.cnblogs.com/hermitaria/p/17856205.html

相关文章

  • kafka入门(二): 位移提交
    位移提交:Kafka的每条消息都有唯一的offset,用来表示消息在分区中对应的位置。有的也称之为"偏移量"。消费者每次在poll()拉取消息,它要返回的是还没有消费过的消息集,因此,需要记录上一次消费时的消费位移,并且持久化。消费者在消费完消息之后,需要执行消费位移的提交。自动位......
  • SQL 注入的基本概念介绍和预防
    SQL注入是一种常见的网络攻击手段,通过利用程序的安全漏洞,向服务器提交恶意的SQL查询代码,从而实现攻击者读取数据、修改数据、执行管理员操作等目的。SQL注入的原理是,当应用程序在处理用户输入的数据时,如果没有进行有效的安全防护,用户输入的数据可能会被直接拼接到SQL查询语......
  • lua基本语法1
    一注释单行注释 两个减号是单行注释:--注释内容多行注释--[[多行注释多行注释--]] 二)基本类型Lua中有8个基本类型分别为:nil(空)----->javanull(空)boolean(布尔)、number(数字)双精度浮点数--->javaintdoublefloatstring(字符......
  • 前端学习笔记202307学习笔记第六十七天-前端面试-es6对象基本解构方法和注意点2
       ......
  • 前端学习笔记202307学习笔记第六十七天-前端面试-es6对象基本解构方法和注意点1
     ......
  • 前端学习笔记202307学习笔记第六十七天-前端面试-箭头函数的基本使用1
      ......
  • 工具 | Vshell使用入门
    写在前面   "Vshell是一款go编写的主机群管理工具(RAT)"。    发现Vshell作者团队非常低调,项目Github上Readme介绍非常简短,网上也很少有使用介绍。写个基础入门,记录从配置到主机管理、搭建隧道。本文仅作为工具介绍,请勿用于任何违法场景。    未经授权请勿利用文章......
  • Java零基础入门-数组
    Java零基础入门-数组前言Java是一门面向对象的编程语言,被广泛应用于各个领域。数组是Java编程中最基本也是最重要的数据结构之一,它可以用来存储一组数据,并且方便进行操作和处理。本文将为大家介绍Java数组的基本概念、语法和常见应用场景,帮助初学者快速入门。摘要本文将从以下......
  • 3-Hive学习路线-软件的基本操作
    2.3.软件的基本操作2.3.1.进入hive[root@localhost~]hive回车2.3.2.操作showdatabases;//显示所有数据库usedatabaseName;//切换到指定数据库showtables;//显示数据中所有表createtable.......
  • CentOS7系统下的Linux命令基本操作(三)
    文件搜索命令文件搜索命令:find尽量不要用搜索命令,占用资源太大命令所在路径:/bin/find执行权限:所有用户语法:find[搜索范围][匹配条件]功能描述:文件搜索范例:$find/etc-nameinit在目录/etc中查找文件init若把init改成init,包含init四个字母的就都会被找到,否则只能找到就叫init......