1.XSS攻擊原理
XSS原稱爲CSS(Cross-Site Scripting),因爲和層疊樣式表(Cascading Style Sheets)重名,所以改稱爲XSS(X一般有未知的含義,還有擴展的含義)。XSS攻擊涉及到三方:攻擊者,用戶,web server。用戶是通過瀏覽器來訪問web server上的網頁,XSS攻擊就是攻擊者通過各種辦法,在用戶訪問的網頁中插入自己的腳本,讓其在用戶訪問網頁時在其瀏覽器中進行執行。攻擊者通過插入的腳本的執行,來獲得用戶的信息,比如cookie,發送到攻擊者自己的網站(跨站了)。所以稱爲跨站腳本攻擊。XSS可以分爲反射型XSS和持久性XSS,還有DOM Based XSS。(一句話,XSS就是在用戶的瀏覽器中執行攻擊者自己定製的腳本。)
2.xss分類
一類是存儲型XSS,主要出現在讓用戶輸入數據, 供其他瀏覽此頁的用戶進行查看的地方,包括留言、評論、博客日誌和各類表單等。應用程序從數據庫中查詢數據,在頁面中顯示出來,攻擊者在相關頁面輸入惡意的腳本數據後,用戶瀏覽此類頁面時就可能受到攻擊。這個流程簡單可以描述爲 —— 惡意用戶的Html輸入web程序 -> 進入數據庫 -> web程序 -> 用戶瀏覽器。
另一類是反射型XSS,主要是將腳本加入URL地址的程序參數裏,參數進入程序後在頁面直接輸出腳本內容,用戶點擊類似的惡意鏈接就可能受到攻擊。
3.環境搭建
其實感覺這個環境搭建並不複雜,老師已經講得很清楚了我就簡單放兩張圖:
修改成你想設置的就好了
然後一步操作至關重要:
然後就可以正常訪問了
4.按照指導書上的來就行了
注意:
最後的cookie欺騙可以用插件也可以用工具 我用的是這個,感覺挺好用的
可以上網搜一搜 想要這個工具的可以留言