首页
学习
活动
专区
工具
TVP
发布

XSS攻击入门

反射性XSS

XSS又叫CSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web页面TM入恶意代码,当用户浏览该页之时。嵌入其中Web里面的html代码会被执行。从而达到恶意攻击用户的特殊目的。在XSS的攻击方式中需要欺骗用户自己去点击案连陵才能触发XSS称为反射里XSS.

输入 hi 发现输出结果正常,没有其他影响

可以输入xss代码,发现输出正确,可以看到提交xss代码后浏览器会弹出一个对话框,会显示我们的输出的内容,这就是一个简单的反射性XSS。

存储型XSS

所谓跨站脚本攻击,为不和层叠样式表的缩写混清。专门将跨站脚本攻击缩写为XSS。由于部分网站开发人员对用户输入过滤不严,会导致用户可以向Web页面里清入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的

由于对用户的输入过滤不严导致XSS,所以一般XSS会存在交互页面,比如登陆框、留言版等地方,提交请求,进行尝试输入不同内容,寻找xss漏洞存在的地方,经过反复尝试 发现留言标题文本框对输入的文字长度进行了限制,我们需要调整xss代码来绕过防护,我们先尝试提交*/点击提交,显示提交成功。输入alert(/xss/)/*,发现留言也成功。

当管理员登陆后台 查看留言列表时,会触发用户输入的恶意代码,就会成功弹窗。通过使用注释符成功的绕过了系统对留言标题长度的限制后,恶意代码成功的执行。完成弹窗攻击。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171231B05RGY00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券