专栏首页WalkingCloudBeEF+DVWA靶场XSS漏洞攻击简单入门实践

BeEF+DVWA靶场XSS漏洞攻击简单入门实践

免责声明:本公众号安全类、工具类文章仅用于安全学习、安全研究、技术交流,内容来源于互联网已公开内容,若读者利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由读者本人负责,文章作者不承担任何责任。请遵守相关网络安全法律法规,禁止非法用途!

一、跨站脚本攻击概念介绍

跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。

XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

那什么是XSS呢?

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

一句话解释:跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

XSS攻击的危害包括:

  • 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
  • 2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
  • 3、盗窃企业重要的具有商业价值的资料
  • 4、非法转账
  • 5、强制发送电子邮件
  • 6、网站挂马
  • 7、控制受害者机器向其它网站发起攻击

XSS主要原因:过于信任客户端提交的数据

二、XSS主要分类:

本文分享自微信公众号 - WalkingCloud(WalkingCloud2018),作者:yuanfan2012

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-05-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 渗透安全测试的靶场

    新手练习测试通常需要一个测试的漏洞环境,而自己去找指定漏洞的网站显然对于新手来说有点不实际,所以今天我就来给大家提供靶场,也就是各种漏洞测试的网站环境,自行搭建

    网e渗透安全部
  • 一文带你网络安全 入门到入* [网络安全]

    笔记来源B站视频(知识区>野生技术协会) 黑客攻防 从入门到入yu【網絡安全】:https://www.bilibili.com/video/BV1E4411...

    天钧
  • [红日安全]Web安全Day2 - XSS跨站实战攻防

    大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ...

    红日安全
  • Web安全靶场

    DVWA作为安全靶场软件,集合了各种常见的漏洞PHP代码。安全靶场有很多种,DVWA是众多靶场中的一个,对于经典的PHP的Web漏洞,DVWA虽然不能说表现的多...

    糖果
  • Kali Linux Web渗透测试手册(第二版) - 5.3 - 利用XSS获取Cookie

    在前几章中,我们知道了攻击者可以使用cookie来冒充当前用户的身份,在上一章节我们也简单地引入了XSS的基本概念。如果目标站点存在XSS漏洞并且Cookie并...

    用户1631416
  • Kali Linux Web渗透测试手册(第二版) - 5.3 - 利用XSS获取Cookie

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,

    7089bAt@PowerLi
  • 测试开发必备技能:安全测试漏洞靶场实战

    安全在互联网行业,是一个对专业性较强,且敏感的一个领域,所谓"一念成佛,一念入魔",安全技术利用得当,可以为你的产品、网站更好的保驾护航,而如果心术不正,利用安...

    测试开发技术
  • 【XSS漏洞】通过XSS实现网页挂马

    前面也写了两期XSS相关的内容,今天就来点高大上的(并不是!),我们来通过XSS实现网页挂马~

    一名白帽的成长史
  • 测试开发必备技能:Web安全测试漏洞靶场实战

    安全在互联网行业,是一个对专业性较强,且敏感的一个领域,所谓"一念成佛,一念入魔",安全技术利用得当,可以为你的产品、网站更好的保驾护航,而如果心术不正,利用安...

    测试开发技术
  • 从一些常见场景到CSRF漏洞利用

    对web客户端的攻击,除了XSS以外,还有一个非常重要的漏洞就是CSRF。 CSRF最关键的是利用受害者的Cookie向服务器发送伪造请求。 1.CSRF漏洞概...

    C4rpeDime
  • Kali Linux Web渗透测试手册(第二版) - 5.2 - 识别跨站脚本漏洞

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,

    用户1631416
  • Kali Linux Web渗透测试手册(第二版) - 5.2 - 识别跨站脚本漏洞

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,

    7089bAt@PowerLi
  • 记录一次有点儿不一样的XSS

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和...

    TeamsSix
  • XSS防御指北

    XSS攻击,对于各位黑客大佬应该算是熟悉的不能再熟悉了,但是为了在座的各位吃瓜群众,小编我还是先简单的在此介绍下。XSS攻击全称为跨站脚本攻击,是...

    用户2202688
  • 【XSS漏洞】利用XSS进行网页钓鱼

    这里是你们微胖的小编Monster。 Whatever,让我们一起来看看今天的内容吧

    一名白帽的成长史
  • 小记 - Web安全

    敏感目录:后台目录、上传目录、phpinfo、robots.txt、网站压缩包、Mysql管理接口、安装页面

    Naraku
  • Kali Linux Web渗透测试手册(第二版) - 9.1 - 如何绕过xss输入验证

    到目前为止,在本书中,我们已经确定并利用了一些漏洞,这些漏洞是比较容易利用的,也就是说,在利用这些漏洞时,我们并没有被任何预防机制所拦截,比如说防火墙。

    7089bAt@PowerLi
  • Wiki | Red Team攻击思维

    一个 Red Team 攻击的生命周期,整个生命周期包括: 信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做...

    HACK学习
  • Kali Linux Web渗透测试手册(第二版) - 9.1 - 如何绕过xss输入验证

    到目前为止,在本书中,我们已经确定并利用了一些漏洞,这些漏洞是比较容易利用的,也就是说,在利用这些漏洞时,我们并没有被任何预防机制所拦截,比如说防火墙。

    用户1631416

扫码关注云+社区

领取腾讯云代金券