1.简述
XSS攻击,即跨站脚本攻击,是一种网络安全威胁。为了避免与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,因此将跨站脚本攻击缩写为XSS。此类攻击通过在Web页面中插入恶意的脚本代码,用户在访问该页面时,这些嵌入的脚本代码会被执行,从而对用户进行恶意操作。XSS攻击主要是针对用户层面的一种攻击手段。
XSS漏洞个人理解就是前端代码写的时候没有进行筛选,使得用户输入的话成为了前端执行的代码。要是想利用号XSS漏洞还是需要进行的JS的代码学习,起码要能看懂JS,然后会基础的代码编码。
下面是皮卡丘的XSS漏洞记录。
2.反射型XSS(get)
F12发现maxlength最大长度为20
我们删除他
<script>alert('lee')</script>
3.反射型XSS(post)
右边的点一下提醒,登录
4.存储型XSS
存储型XSS,很有趣,他写上js语言后,是会存入到网站的,每次你打开这个网站的时候,都会蹦出这个界面。下面进行记录。(这个为好感觉还是比较大的)
处理结果如图所示。每次进入到这个页面都会有这个弹窗,每个人也都会这个弹窗。
5.DOM-XSS
查看网页源代码
用全局搜索找到’what do you see?‘
明白这句话的含义,如果没有学习过JS或者不是很明白的可以,问ChatGpt也是很详细的,这句话的意思是会把用户的输入的句子,写入<a>标签中。只不过这一次就不可用<script >语句了,<script >这个语句不能在<a>标签中生效。所以我们可以换一个方法。
'onclick="alert('lee')">