Web安全学习之XSS漏洞实战学习

  1. 编写一个存在 xss 漏洞的页面
  2. 利用 xss 漏洞获取当前用户 cookie
  3. 思考,利用 xss 漏洞能干嘛(参考 beef)
  4. 扩展学习:学习如何防御 xss、总结防御策略加到报告里

要求:记录编写的页面代码、操作流程、思考总结

反射型XSS

原理
反射型xss一般出现在URL参数中及网站搜索栏中,由于需要点击包含恶意代码的URL才可以触发,并且只能触发一次,所以也被称”非持久性xss”

代码案例

  1. Low Level
    漏洞代码:

此处内容需要评论回复后(审核通过)方可阅读。

  1. Medium Level

此处内容需要评论回复后(审核通过)方可阅读。

3.High Level

漏洞代码:

此处内容需要评论回复后(审核通过)方可阅读。

储存XSS

原理
允许用户提交数据的Web应用程序都有可能会出现存储型XSS漏洞,当攻击者提交一段XSS代码后,被服务器接收并存储,当攻击者再次访问某个页面时,这段XSS代码被程序读出来响应给浏览器,造成XSS跨站攻击,这就是存储型XSS。

代码案例:

此处内容需要评论回复后(审核通过)方可阅读。

本文未完未涉及domxss

最后修改:2020 年 09 月 26 日 04 : 35 PM
如果觉得我的文章对你有用,请随意赞赏