XSS攻击入门

Posted 黑白之道

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS攻击入门相关的知识,希望对你有一定的参考价值。


反射性XSS


  XSS又叫CSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web页面TM入恶意代码,当用户浏览该页之时。嵌入其中Web里面的html代码会被执行。从而达到恶意攻击用户的特殊目的。在XSS的攻击方式中需要欺骗用户自己去点击案连陵才能触发XSS称为反射里XSS.


  输入 hi 发现输出结果正常,没有其他影响


XSS攻击入门

XSS攻击入门

可以输入xss代码,发现输出正确,可以看到提交xss代码后浏览器会弹出一个对话框,会显示我们的输出的内容,这就是一个简单的反射性XSS。


XSS攻击入门

XSS攻击入门


存储型XSS


  所谓跨站脚本攻击,为不和层叠样式表的缩写混清。专门将跨站脚本攻击缩写为XSS。由于部分网站开发人员对用户输入过滤不严,会导致用户可以向Web页面里清入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的


XSS攻击入门

由于对用户的输入过滤不严导致XSS,所以一般XSS会存在交互页面,比如登陆框、留言版等地方,提交请求,进行尝试输入不同内容,寻找xss漏洞存在的地方,经过反复尝试 发现留言标题文本框对输入的文字长度进行了限制,我们需要调整xss代码来绕过防护,我们先尝试提交*/</Script>点击提交,显示提交成功。输入<script>alert(/xss/)/*,发现留言也成功。



XSS攻击入门

XSS攻击入门


XSS攻击入门


XSS攻击入门


当管理员登陆后台 查看留言列表时,会触发用户输入的恶意代码,就会成功弹窗。通过使用注释符成功的绕过了系统对留言标题长度的限制后,恶意代码成功的执行。完成弹窗攻击。


你会喜欢




以上是关于XSS攻击入门的主要内容,如果未能解决你的问题,请参考以下文章

XSS攻击入门

XSS攻击入门鹏越·学霸专区

跨站的艺术-XSS入门与介绍

XSS漏洞基础入门

详解CSRF漏洞攻击

什么是 XSS攻击?