XSS

Posted namehou

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS相关的知识,希望对你有一定的参考价值。

1.反射型XSS:

<?php 

$input = $_GET["param"];
echo "<div>".$input."</div>";
?>

http://localhost//XSS/new%201.php?param=这是一个测试!

 

http://localhost//XSS/new%201.php?param=<script>alert(1)<script>

 

 把用户输入的数据“反射”给浏览器,也就是说黑客往往需要诱使用户“点击”一个而已链接,才能攻击成功。也叫“非持久型XSS”

 

 

 第三种类型:

DOM Based XSS 从效果上来说 也是反射型XSS。并不是按照“数据是否保存在服务器端”来划分。单独划分出来 是因为它形成原因比较特别。

通过修改DOM节点形成的XSS

 

<div id="t"></div>
<input type="text" id="text" value=""/>
<input type="button" id="s" value="write" onclick="test()"/>
<script>
function test(){
var str = document.getElementById("text").value;
document.getElementById("t").innerhtml = "<a href=\'"+str+"\'><img src=# onerror=alert(/XS2/) /></a>";
}
</script>

点击确定

 

 

XSSPayload:

 

 ?????然而 我并没有弄不出来,,,不懂原理  

 

以上是关于XSS的主要内容,如果未能解决你的问题,请参考以下文章

Pikachu靶场之XSS漏洞详解

什么是 XSS攻击?

Pikachu之XSS

web安全之XSS攻击原理及防范

web安全之XSS攻击原理及防范

Pikachu漏洞练习平台实验——XSS