XSS攻击入门鹏越·学霸专区
Posted 鹏越网络空间安全研究院
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS攻击入门鹏越·学霸专区相关的知识,希望对你有一定的参考价值。
反射性XSS
输入 hi 发现输出结果正常,没有其他影响
可以输入xss代码,发现输出正确,可以看到提交xss代码后浏览器会弹出一个对话框,会显示我们的输出的内容,这就是一个简单的反射性XSS。
存储型XSS
所谓跨站脚本攻击,为不和层叠样式表的缩写混清。专门将跨站脚本攻击缩写为XSS。由于部分网站开发人员对用户输入过滤不严,会导致用户可以向Web页面里清入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
由于对用户的输入过滤不严导致XSS,所以一般XSS会存在交互页面,比如登陆框、留言版等地方,提交请求,进行尝试输入不同内容,寻找xss漏洞存在的地方,经过反复尝试 发现留言标题文本框对输入的文字长度进行了限制,我们需要调整xss代码来绕过防护,我们先尝试提交*/</Script>点击提交,显示提交成功。输入<script>alert(/xss/)/*,发现留言也成功。
当管理员登陆后台 查看留言列表时,会触发用户输入的恶意代码,就会成功弹窗。通过使用注释符成功的绕过了系统对留言标题长度的限制后,恶意代码成功的执行。完成弹窗攻击。
声明:
本文内容或图片来自互联网收集或网友投稿,如有版权问题请与我们取得联系:webadm@pengyueisos.com
以上是关于XSS攻击入门鹏越·学霸专区的主要内容,如果未能解决你的问题,请参考以下文章