快速找出网站中可能存在的XSS漏洞实践(一)

最新推荐文章于 2025-11-05 18:32:52 发布
原创 最新推荐文章于 2025-11-05 18:32:52 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了XSS漏洞的三种类型:反射型、存储型和DOM型,并以permeate生态测试系统为例,详述了反射型和存储型XSS的挖掘过程,包括思路分析、漏洞检验和结果分析。通过实例展示了如何发现和绕过后端及前端的防护措施,强调了前端开发者在XSS防御中的重要性。

一、背景

笔者最近在慕课录制了一套XSS跨站漏洞 加强Web安全视频教程,课程当中有讲到XSS的挖掘方式,所以在录制课程之前需要做大量实践案例,最近视频已经录制完成,准备将这些XSS漏洞的挖掘过程记录下来,方便自己也方便他人。

在本篇文章当中会一permeate生态测试系统为例,笔者此前写过一篇文章当中笔者已经讲解如何安装permeate渗透测试系统,因此这里不再重复讲解如何安装此渗透测试系统,参考文档:利用PHP扩展Taint找出网站的潜在安全漏洞实践

二、内容概要

  1. XSS漏洞原理
  2. 反射型挖掘
  3. 存储型挖掘

三、漏洞简介

在实践漏洞之前,笔者准备先简单介绍一下XSS漏洞,不过XSS的相关概念介绍并不是本文的重点,因此不会过多细讲;XSS的漏洞类型主要分为三类:反射型、存储型、DOM型

3.1 漏洞成因

XSS的漏洞主要成因是后端接收参数时未经过滤,导致参数改变了HTML的结构,如下图所示
image

在图中可以看到攻击者的参数被原样放到了HTML代码当中,导致原本的结构被改变,当这份代码被浏览器执行之后,将执行alert事件。

3.2 反射型

反射型XSS在笔者闹钟的定义是,如果URL地址当中的恶意参数会直接被输出到页面中,导致攻击代码被触发,便称之为反射型XSS,如下图所示
image

在图中可以看到,此处原本是输入一个名字,单实际传递了一个script标签,此标签也被原样放到了HTML结构当中,结果script标签代码中的代码被触发

3.3 存储型

存储型XSS,顾名思义便是恶意参数被存储起来了,通常存储在后端服务器当中,所以存储型XSS在URL地址当中不会包含恶意参数,对于受害者来说,很难发现已经被攻击了,如下图存储型XSS被触发

image

在图中笔者并没有在URL地址当中看到script代码,但是攻击代码依然被触发,说明攻击代码来自于服务器,而这个攻击代码确实是由攻击者传递到服务器当中去的。

一般情况下,当攻击者将攻击代码通过表单传递到服务器当中去,会得到一个新页面的地址,这个地址中URL并没有明显异常,比如如下URL地址

http://permeate.songboy.net/article/1

但当存在存储型XSS时,受害者打开此URL,攻击代码将会被触发,这种情况下笔者便称之为存储型XSS漏洞。

最低0.47元/天 解锁文章
XSS漏洞讲解与多篇实战讲解
浪子燕青的博客
02-25 3748
跨站脚本攻击 XSS攻击基础 概述 个人对XSS攻击的原理认知: 原理:对可以控制传参的位置,比如url链接中,输入框中,首先闭合输出参数位置前后网页标签,在闭合的中间加上JavaScript代码或者其他的html标签,使得网页能够执行你添加的参数功能。 危害:凡是js能做的,大部分xss漏洞都能利用,常见的比如获取当前cookie,获取浏览器保存的账号密码 、获取屏幕截图,获取页面的数据,改变页面的逻辑,向服务器发送数据请求等。 情景:在挖洞的情景下,只要保证能弹个窗,或者执行js代码即可。但是
通过Web安全工具Burp suite找出网站中的XSS漏洞实战()
weixin_33774308的博客
10-08 1114
、背景 笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇参考地址为快速找出网站可能存在XSS漏洞实践()https://segmentfault.com/a/1190000016095198 本文主要记录利用Web安全工...
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
如何寻找XSS漏洞
06-10
1. 传统的跨站脚本攻击(XSS) 2. 跨平台客户端的安全隐患
XSS漏洞检测和利用,XSS漏洞原理是什么?XSS漏洞的危害有哪些?
最新发布
2301_77472496的博客
11-05 963
XSS漏洞种跨站脚本攻击,攻击者通过构造恶意脚本传入服务器,并且被当成前端脚本执行了。
XSSer:自动化XSS漏洞检测及利用工具
09-04
XSSer:自动化XSS漏洞检测及利用工具 跨站点“Scripter”(又名XSSer)是个自动化框架,用于检测、利用以及报告基于Web应用程序 中的XSS漏洞。 它包含多个尝试绕过某些过滤器的选项,以及各种特殊的代码注入技术。
渗透测试-XSS漏洞检测
道阻且长,行则将至
09-11 1万+
反射型 Low 界面如图所示: 查看后台源码: <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for ...
XSS漏洞审计:通过代码审查定位关键点
"通过代码审计找出网站中的XSS漏洞实战" 在进行网站安全性审计时,XSS(跨站脚本)漏洞种常见的安全问题,它允许攻击者注入恶意脚本到用户的浏览器,从而窃取敏感信息或执行其他恶意操作。本文以实战的角度详细...
xss网站寻找xss漏洞
08-29
在手工挖掘中,可以参考中提供的实践案例,通过快速找出网站可能存在XSS漏洞。工具挖掘可以使用些专门用于漏洞扫描的工具,例如permeate渗透测试系统。中提供了个示例URL,你可以通过访问该网站来进行XSS...
Web安全:XSS漏洞的测试(防止 黑客利用此漏洞.)
热门推荐
网络安全领域___专研者.
03-17 2万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
XSS漏洞检测和利用
2401_84434570的博客
04-22 1462
通过构造些特殊的xss poc,在可能出现XSS漏洞测试点将这些语句传入网站,我们就能过够相对轻松的探测出XSS漏洞
XSS漏洞的检测与防御
我乐了的博客
01-30 2592
如果在官方修复前,那个 XSS 漏洞已经被恶意利用了,那即使已经通过输入检查方法修复了,被插入的恶意代码仍会存在,这可以认为是修复不彻底的表现。PhantomJS:已停止维护。DOM XSS 的扫描相比常规 XSS 要难些,主要是针对 JS 代码的分析,如果只是简单的正则匹配,就很容易误报漏报。不同的语言有不同的特性,在源码审计时需要采取不同的检测点,但有个共同的思路,那就是。有时我们也会反着来:先查看些危险的输出函数,再回溯它的参数传递,判断是否有未经过滤的用户输入数据,若有就代表可能存在漏洞
安全测试之xss漏洞的检测与防御
HSS919的博客
03-13 5375
手工检测重点要考虑数据输入的地方,且需要清楚输入的数据输出到什么地方。在检测的开始,可以输入些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。手工检测结果相对准确,但效率较低。
网络安全课第二节 XSS漏洞检测防御
fegus的博客
07-11 2910
从本讲开始,我将带你进入 Web 漏洞攻防的世界,学习些常见的 Web 漏洞的原理、利用与防御。在这些常见的Web 漏洞中,XSS(Cross-site Script,跨站脚本)漏洞无疑是最多见的。根据 HackerOne 漏洞奖励平台发布的 The 2020 Hacker Report,XSS 漏洞类型占所有报告漏洞中的 23%,排名第。因此,在“模块二:漏洞攻防案例”,我特意以 XSS 作为讲解的第漏洞类型。图 1:HackerOne 平台上报告的漏洞类型占比最早的 XSS 漏洞可追溯到 199
【网络安全渗透测试入门】之XSS漏洞检测、利用和防御机制XSS游戏(非常详细)收藏这篇就够了!
Cairo_A的博客
03-29 825
这是我给粉丝盆友们整理的网络安全渗透测试入门阶段XSS攻击基础教程。本教程主要讲解XSS漏洞检测、利用和防御机制。Web的安全问题越来越严重,漏洞总是在不停的出现,而我们以前直在做的都是打补丁,就这样漏洞、补丁、补丁、漏洞的恶忄生循环着。其实很多的攻击都是可以预防的,只要我们做好前期的工作。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值