XSS闯关挑战

Posted 2020-11-05

XSS跨站攻击

本文参考公众号07v8论安全

        XSS攻击全称跨站脚本攻击，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

XSS攻击分成两类
1、一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句。
2、另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。
如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

    XSS分为：存储型和反射型
    存储型XSS：存储型XSS，持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，加入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中。

用户访问该页面的时候触发代码执行。
这种XSS比较危险，容易造成蠕虫，盗窃cookie

    反射型XSS：非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容） 一般容易出现在搜索页面

            1、环境的搭建

这里我以我自己搭建的环境来实验。
实验环境下载地址：
链接：https://pan.baidu.com/s/1fzz2F5TG0ajMf_WVGxAgtQ 密码：sgvd

一个是xss的实验环境，闯关的形式，
另一个是搭建网站的环境，如果自己有的话可以不用下载，直接将xss文件的压缩包下载来，解压到网站主目录www文件夹下即可访问
环境搭建好之后的首页应该是这样的

开始我们的挑战之旅。请进< 第一关>