Web安全入门笔记-XSS
windows 10
360浏览器
0x00.概述
1.什么是 XSS
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
0x01:漏洞介绍
1.目标网站在搜索商品时,用户输入的内容还是没有过滤,直接显示在页面中,说明存在反射型xss,利用反射型xss获取用户登录cookie。
0x02:漏洞实战
1.打开目标网站在商品搜索框中输入fffffffffffffff字符串,没有找到对应的商品名称时直接显示到搜索页面,如图1所示。
图1
现在我们用xss代码输入,<script>alert(666666)</script>,出现如图2所示的提示:
图2
2.利用XSS平台来获取cookie,如图3所示,先创建一个接收cookie的项目。
图3
将图3中的连接再插入页面,只要打开我们插有xss代码的页面 cookie就会返回到xss平台,如图4、图5所示。
图4
图5
如图5所示,我们己经成功获取到cookie,然后模拟登录。
3.通过burp来模拟一下用户登录的cookie,如图6所示。
图6
替换了上面的cookie后让它继续登录,最后成功登录了,如图7所示。
图7
0x03:总结
1. 实施XSS攻击需要具备两个条件: 需要向web页面注入恶意代码, 这些恶意代码能够被浏览器成功的执行。
XSS攻击的特点就是尽一切办法在目标网站上执行非目标网站上的脚本,获取想要的信息。
转载于:https://www.cnblogs.com/2014asm/p/10186131.html
Web安全入门笔记-XSS相关推荐
- 黑马pink老师Web前端入门笔记(二)
Web前端入门 二.HTML标签 (一) 学习目标 (二)HTML语法规范 (三) HTML基本结构标签 (四) 开发工具 (五) HTML常用标签 1.语义标签: 2.标题标签(重要): 3.段落和 ...
- python开发web项目_Django2:Web项目开发入门笔记(20)
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 这一篇教程,我们一起来了解如何在CentOS系统中将Django2的Web项目部署到Nginx服务器. CentOS系统虽然和Ubuntu系统都是Linu ...
- go web框架_golang微服务框架go-micro 入门笔记2.2 micro工具之微应用利器micro web
micro web micro 功能非常强大,本文将详细阐述micro web 命令行的功能 阅读本文前你可能需要进行如下知识储备 golang分布式微服务框架go-micro 入门笔记1:搭建go- ...
- 《Java Web开发入门很简单》学习笔记
<Java Web开发入门很简单>学习笔记 1123 第1章 了解Java Web开发领域 Java Web主要涉及技术包括:HTML.JavaScript.CSS.JSP.Servlet ...
- 每天成长一点---WEB前端学习入门笔记
WEB前端学习入门笔记 从今天开始,本人就要学习WEB前端了. 经过老师的建议,说到他每天都会记录下来新的知识点,每天都是在围绕着这些问题来度过,很有必要每天抽出半个小时来写一个知识总结,及时对一天工 ...
- 这份网络安全入门笔记(共327页),助你步入安全门槛
前言 随着Web技术发展越来越成熟,而非Web服务越来越少的暴露在互联网上,现在互联网安全主要指的是Web安全. 为了自身不"裸奔"在大数据里,渐渐开始学习Web安全,在学习Web ...
- 这份网络安全入门笔记(共327页),助你步入安全门槛,建议收藏
网络安全的范畴很大,相较于二进制安全等方向的高门槛.高要求,Web安全体系比较成熟,在现阶段来看,但凡有自己网站和安全需求的企业,就需要Web安全工程师,并且薪资十分可观,因此成为了不少朋友的主要发展 ...
- javaweb入门笔记(4)-request和response
2019独角兽企业重金招聘Python工程师标准>>> javaweb入门笔记(4)-request和response 标签: javaweb [TOC] API: Interfac ...
- java web快速入门_Web安全快速入门
java web快速入门 Web开发人员针对CORS,CSP,HSTS和所有Web安全首字母缩写词的入门知识! (A web developer's primer on CORS, CSP, HSTS ...
- SpringMVC入门笔记
SpringMVC入门笔记 1. 简介 Spring MVC是一种基于Java的实现了Web MVC设计模式的请求驱动类型的轻量级Web框架 ,是Spring系开源项目中的一个,和IoC配合使用.通过 ...
最新文章
- Windows7在Eclipse中配置Python+OpenCV
- filezilla 设置filezilla使用明文密码_详解WordPress使用FTP上传主题和插件
- VTK:标记数据映射器用法实战
- java双引号的转义字符_JAVA中转义字符
- mysql8 优化_MySQL 8.0 优化
- 【C++grammar】继承与构造test1代码附录
- 【2016年第2期】大数据背景下的治理现代化:何以可能与何以可为(下)
- Linux下Elasticsearch-2.4.0的安装与简单配置(单节点)Head插件安装(已测试)
- linux shell 退出_dialog命令在linux系统中使用方法
- Java比较两个实体属性值是否相同,将不同的属性输出
- android的Service
- 什么是低代码(LowCode)/无代码(NoCode)平台?
- 复盘模型_如何运用MT4软件进行复盘,提高水平
- 快速下载各类网页视频插件~COCOCUT
- 工业生产管理-数据采集初探
- 记一次端口聚合之【牵一发而动全身】
- 基于51单片机的小区智能防盗门禁密码锁 proteus仿真程序设计
- java.lang.IllegalArgumentException: java.security.InvalidKeyException: Illegal key siz
- Ti IMGLIB库简介
- [3th of series ABE] Shamir‘s Secret Sharing