學習筆記1 0 XSS

2021-09-29 08:12:48 字數 968 閱讀 4833

xss(跨站指令碼攻擊)注入分為兩種:

反射型(reflected):url取參時進行非法調

用。儲存型(stored):將非法內容儲存到資料庫中,

然後系統從資料庫中獲取的非法內容進行調

用.dvwa上有已經搭好的xss反射型和儲存型注入平台.

反射型(reflected):

low:

document.

write

(document.cookie)

<

/script>

alert

(document.cookie)

<

/script>

medium:

雙寫:high:

無法使用

alter

(/xxs/

)>

impossible:

儲存型(stored):

儲存型相對於反射型來說更為複雜一點,較為高階的注入,就另闢蹊徑,從name懶進行注入,但name欄有字數限制.於是用burp suite抓包修改。

這裡遇到乙個問題,發現我的burp suite居然抓不了dvwa的包,得到**伺服器那兒將不**伺服器裡面的內容清空。

alter

(/xss/

)<

/script>

medium:

也是雙寫繞過:大小寫繞過:

high:

(/name/

)>

impossible:

詳情:高階:

XSS學習筆記

程式對輸入和輸出的控制不嚴格,導致攻擊者構造的j ascript 在前端時被瀏覽器當作有效 解析執行產生危害 攻擊者在url中插入xss 使用者開啟後受到xss攻擊 xss 經過伺服器,輸出到頁面上 1.攻擊者構造惡意 儲存到資料庫中 2.使用者訪問頁面,頁面調取資料,觸發惡意指令碼 攻擊者在url...

XSS漏洞學習筆記

xss漏洞,英文名為cross site scripting。xss最大的特點就是能注入惡意的 到使用者瀏覽器的網頁上,從而達到劫持使用者會話的目的。說白了就是想盡辦法讓你載入一段js 從而獲取cookie等敏感資訊進而搞破壞 xss大致分為三類 最重要的是閉合標籤 一般是人工挖掘或者機器挖掘。人工...

XSS學習筆記(一)

按照危害程度 儲存型 反射型 dom 型 反射型 互動的資料一般不會被存在在資料庫裡面,一次性,一般出現在查詢頁面等。與伺服器互動 dom 型 不與後台伺服器產生資料互動,通過dom 操作前端 輸出的時候產生的問題,也屬於反射型。形成 xss 漏洞的主要原因是程式對輸入和輸出的控制不夠嚴格,導致 精...