windows 10

360浏览器

0x00.概述

1.什么是 XSS

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

0x01:漏洞介绍

1.目标网站在搜索商品时,用户输入的内容还是没有过滤,直接显示在页面中,说明存在反射型xss,利用反射型xss获取用户登录cookie。

0x02:漏洞实战

1.打开目标网站在商品搜索框中输入fffffffffffffff字符串,没有找到对应的商品名称时直接显示到搜索页面,如图1所示。

          图1

现在我们用xss代码输入,<script>alert(666666)</script>,出现如图2所示的提示:

          图2

2.利用XSS平台来获取cookie,如图3所示,先创建一个接收cookie的项目。

          图3

将图3中的连接再插入页面,只要打开我们插有xss代码的页面 cookie就会返回到xss平台,如图4、图5所示。

          图4

          图5

如图5所示,我们己经成功获取到cookie,然后模拟登录。

3.通过burp来模拟一下用户登录的cookie,如图6所示。

          图6

替换了上面的cookie后让它继续登录,最后成功登录了,如图7所示。

          图7

0x03:总结

1. 实施XSS攻击需要具备两个条件: 需要向web页面注入恶意代码, 这些恶意代码能够被浏览器成功的执行。

XSS攻击的特点就是尽一切办法在目标网站上执行非目标网站上的脚本,获取想要的信息。

转载于:https://www.cnblogs.com/2014asm/p/10186131.html

Web安全入门笔记-XSS相关推荐

  1. 黑马pink老师Web前端入门笔记(二)

    Web前端入门 二.HTML标签 (一) 学习目标 (二)HTML语法规范 (三) HTML基本结构标签 (四) 开发工具 (五) HTML常用标签 1.语义标签: 2.标题标签(重要): 3.段落和 ...

  2. python开发web项目_Django2:Web项目开发入门笔记(20)

    该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 这一篇教程,我们一起来了解如何在CentOS系统中将Django2的Web项目部署到Nginx服务器. CentOS系统虽然和Ubuntu系统都是Linu ...

  3. go web框架_golang微服务框架go-micro 入门笔记2.2 micro工具之微应用利器micro web

    micro web micro 功能非常强大,本文将详细阐述micro web 命令行的功能 阅读本文前你可能需要进行如下知识储备 golang分布式微服务框架go-micro 入门笔记1:搭建go- ...

  4. 《Java Web开发入门很简单》学习笔记

    <Java Web开发入门很简单>学习笔记 1123 第1章 了解Java Web开发领域 Java Web主要涉及技术包括:HTML.JavaScript.CSS.JSP.Servlet ...

  5. 每天成长一点---WEB前端学习入门笔记

    WEB前端学习入门笔记 从今天开始,本人就要学习WEB前端了. 经过老师的建议,说到他每天都会记录下来新的知识点,每天都是在围绕着这些问题来度过,很有必要每天抽出半个小时来写一个知识总结,及时对一天工 ...

  6. 这份网络安全入门笔记(共327页),助你步入安全门槛

    前言 随着Web技术发展越来越成熟,而非Web服务越来越少的暴露在互联网上,现在互联网安全主要指的是Web安全. 为了自身不"裸奔"在大数据里,渐渐开始学习Web安全,在学习Web ...

  7. 这份网络安全入门笔记(共327页),助你步入安全门槛,建议收藏

    网络安全的范畴很大,相较于二进制安全等方向的高门槛.高要求,Web安全体系比较成熟,在现阶段来看,但凡有自己网站和安全需求的企业,就需要Web安全工程师,并且薪资十分可观,因此成为了不少朋友的主要发展 ...

  8. javaweb入门笔记(4)-request和response

    2019独角兽企业重金招聘Python工程师标准>>> javaweb入门笔记(4)-request和response 标签: javaweb [TOC] API: Interfac ...

  9. java web快速入门_Web安全快速入门

    java web快速入门 Web开发人员针对CORS,CSP,HSTS和所有Web安全首字母缩写词的入门知识! (A web developer's primer on CORS, CSP, HSTS ...

  10. SpringMVC入门笔记

    SpringMVC入门笔记 1. 简介 Spring MVC是一种基于Java的实现了Web MVC设计模式的请求驱动类型的轻量级Web框架 ,是Spring系开源项目中的一个,和IoC配合使用.通过 ...

最新文章

  1. Windows7在Eclipse中配置Python+OpenCV
  2. filezilla 设置filezilla使用明文密码_详解WordPress使用FTP上传主题和插件
  3. VTK:标记数据映射器用法实战
  4. java双引号的转义字符_JAVA中转义字符
  5. mysql8 优化_MySQL 8.0 优化
  6. 【C++grammar】继承与构造test1代码附录
  7. 【2016年第2期】大数据背景下的治理现代化:何以可能与何以可为(下)
  8. Linux下Elasticsearch-2.4.0的安装与简单配置(单节点)Head插件安装(已测试)
  9. linux shell 退出_dialog命令在linux系统中使用方法
  10. Java比较两个实体属性值是否相同,将不同的属性输出
  11. android的Service
  12. 什么是低代码(LowCode)/无代码(NoCode)平台?
  13. 复盘模型_如何运用MT4软件进行复盘,提高水平
  14. 快速下载各类网页视频插件~COCOCUT
  15. 工业生产管理-数据采集初探
  16. 记一次端口聚合之【牵一发而动全身】
  17. 基于51单片机的小区智能防盗门禁密码锁 proteus仿真程序设计
  18. java.lang.IllegalArgumentException: java.security.InvalidKeyException: Illegal key siz
  19. Ti IMGLIB库简介
  20. [3th of series ABE] Shamir‘s Secret Sharing

热门文章

  1. aswing学习笔记2-不规则外框-请教思路
  2. Illustrator 教程,如何在 Illustrator 中使用曲率工具绘制?
  3. Lungo 保持 Mac 屏幕唤醒的方便工具
  4. Coherence X:将任意网站转为macOS应用
  5. 从Photoshop无法启动DeNoise AI Mac作为插件的解决办法
  6. dubbo学习笔记一(服务注册)
  7. 基于django的视频点播网站开发-step9-后台视频管理功能
  8. SQL Server 历史SQL执行记录
  9. Python Django开发中XSS内容过滤问题的解决
  10. 问题集录--新手入门深度学习,选择TensorFlow 好吗?