【XSS跨站】---原理分类及攻击手法---day25

【XSS跨站】---原理分类及攻击手法---day25

一、学习路线&思维导图

image-20210415201043580

二、XSS跨站漏洞产生原理,危害,特点。

1、本质

①举例

image-20210415201555467

image-20210415201534227

②原理:

在变量接收数据的时候,这个数据可以写成JavaScript代码,如果服务端将这个变量的数据进行回显的操作,比如说输出。浏览器就识别JavaScript代码,当成js执行了。

2、产生层面

①产生层面一般都是在前端,JavaScript代码能干什么,执行之后就会达到相应的效果。

3、函数类

①比如说php中的echo print这些脚本的输出函数。

4、漏洞操作对应层

5、危害影响

①通过JavaScript代码来形成威胁。

6、浏览器内核版本等

利用这个漏洞需要浏览器版本和内核没有过滤XSS攻击

三、XSS跨站脚本漏洞分类

1、反射型(非持续性)

这个只能自己构造,但是别人访问没用。

2、存储型(持续性)---危害性大

比如说留言板,会持续攻击。因为这个语句存到了对方网站的服务器数据库里了。

image-20210415203032920

3、DOM型

①HTML DOM树

image-20210415203306265

image-20210415211417122

四、XSS平台

1、免费平台

https://xsshs.cn/xss.php?do=login

2、使用

①新创建一个我的项目

②查看代码:

image-20210415213634564

把这些跨站代码弄到目标攻击的网站,

image-20210415213706061

等管理员查看后台留言板的时候,

image-20210415213820110

发现请求了这个地址。在平台上就有信息了。

image-20210415214159366

五、跨站攻击

1、手工测试:

在一些页面id可以控制,

image-20210415214847402

2、通过XSS攻击盗取其他用户的cookie或者session

image-20210415220146517

session会占用服务器的资源,但是比较安全。比如说javaweb中的session序列化和反序列化。

posted @ 2021-05-17 21:14  DarkerG  阅读(247)  评论(0编辑  收藏  举报