扎頭髮,兩圈太鬆,三圈太緊,洗澡,往左一點燙死,往右一點凍死,吃泡麪,一桶吃不飽,兩桶吃不完,就像我們的關係。。。
---- 網易雲熱評
跨站腳本攻擊(XSS),惡意攻擊者在web頁面插入惡意script代碼,當用戶瀏覽該頁面時,惡意代碼就會被執行,達到攻擊用戶的目的。
形成原因:程序對輸入和輸出的過濾不嚴格
一、反射型XSS:需要欺騙用戶自己點擊鏈接才能出發XSS代碼
1、在輸入窗口輸入123,點擊提交,審查元素,可以看到提交的內容顯示在了網頁
2、在輸入框輸入:,點擊提交,彈出對話框,說明存在漏洞
二、漏洞利用
1、找一個xss平臺,註冊賬號,新建一個項目
2、複製關鍵代碼:,將該代碼複製到存在漏洞的頁面,然後提交
3、打開xss平臺上創建的項目,我們可以得到DVWA平臺登錄的cookie
三、存儲型XSS:用戶只要訪問存在該漏洞的頁面就會觸發
1、在對話框輸入,提交,每次刷新頁面都會彈出,說明該處存在xss漏洞
2、在對話框輸入xss平臺上生成的代碼,點擊提交,只要訪問該頁面的用戶,都會在xss平臺上看到他的cookie信息
四、xss繞過
1、大小寫繞過,將
禁止非法,後果自負
歡迎關注公衆號:web安全工具庫