Web安全工程师必须要知道XSS漏洞的几个要点,你知道吗?

Posted 大白Tang

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Web安全工程师必须要知道XSS漏洞的几个要点,你知道吗?相关的知识,希望对你有一定的参考价值。

一、存储型XSS漏洞
1、存储型xss漏洞就是将js代码存储到服务器上,然后实施攻击
2、访问该漏洞地址

http://192.168.139.129/pikachu/vul/xss/xss_stored.php


在这里插入图片描述

3、可以随便留言,留一段js代码,不显示内容,js代码会直接执行,弹窗,只要该留言不删除,任何人访问到该页面都会弹窗

在这里插入图片描述
二、反射性XSS漏洞(GET和POST)
1、一次性攻击,将存在漏洞的url发送给目标,让其点击便会触发漏洞
2、GET型,将123替换为

<script>alert(123)</script>

然后将该地址
在这里插入图片描述
3、POST型,将提交的内容改为

<script>alert(document.cookie)</script>

获取该用户的cooki信息
在这里插入图片描述
在这里插入图片描述
三、DOM型XSS漏洞
1、当源码内容与url有交互的时候就可能产生该漏洞
2、随便输入一段字符,点击"说出你的伤心事",然后再点击"费尽心机。。",会生成一个连接"就让往事。。。"!
在这里插入图片描述
3、我们审查就让往事都随风的元素,里面读取了url里面我们提交的内容
在这里插入图片描述

4、构造payload

' onclick="alert(document.cookie)">

按上面步骤,让源码读取提交的内容
在这里插入图片描述
5、点击就让往事都随风,弹出我们需要的内容
在这里插入图片描述

以上是关于Web安全工程师必须要知道XSS漏洞的几个要点,你知道吗?的主要内容,如果未能解决你的问题,请参考以下文章

Web 安全漏洞之 XSS 攻击

网络安全必学知识点之XSS漏洞

Web开发常见的几个漏洞解决方法

笔记网易微专业-Web安全工程师-04.WEB安全实战-9.XSS

前端漏洞讲解-XSS

Web安全Csrf漏洞利用