《Web安全渗透全套教程（40集）》学习笔记 | XSS跨站脚本攻击

Posted 2021-06-14 COCOgsta

学习视频来源：B站《Web安全渗透全套教程（40集）》

个人在学习的同时，也验证了视频中的实验部分，现将授课笔记和实验笔记整理下来。

XSS简介

原理解析

构造XSS脚本

常用html标签

常用javascript方法

构造XSS脚本

反射型XSS

验证弹框

展示网页cookie

页面嵌套

页面重定向

先弹窗，点击OK后跳转至指定的页面

图片标签，一个裂开的图

存储型XSS

输入<script>alert('yangge')</script>，点击提交后，任何时候打开该页面，都会出现这个弹窗

kali服务器新建收集cookie的php程序

为目录分配权限

植入XSS脚本

点开该页面时，在相应目录下记录了浏览器的cookie

自动化XSS

BeEF简介

BeEF基础

清除之前植入的脚本

点击图标，自动打开页面。用户名beef，密码beef

输入BeEF监听的hook.js脚本位置

显示有台在线主机

可利用command对主机的浏览器等进行操作