Web安全学习之XSS漏洞实战学习
- 编写一个存在 xss 漏洞的页面
- 利用 xss 漏洞获取当前用户 cookie
- 思考,利用 xss 漏洞能干嘛(参考 beef)
- 扩展学习:学习如何防御 xss、总结防御策略加到报告里
要求:记录编写的页面代码、操作流程、思考总结
反射型XSS
原理
反射型xss一般出现在URL参数中及网站搜索栏中,由于需要点击包含恶意代码的URL才可以触发,并且只能触发一次,所以也被称”非持久性xss”
代码案例
- Low Level
漏洞代码:
此处内容需要评论回复后(审核通过)方可阅读。
- Medium Level
此处内容需要评论回复后(审核通过)方可阅读。
3.High Level
漏洞代码:此处内容需要评论回复后(审核通过)方可阅读。
储存XSS
原理
允许用户提交数据的Web应用程序都有可能会出现存储型XSS漏洞,当攻击者提交一段XSS代码后,被服务器接收并存储,当攻击者再次访问某个页面时,这段XSS代码被程序读出来响应给浏览器,造成XSS跨站攻击,这就是存储型XSS。
代码案例:
此处内容需要评论回复后(审核通过)方可阅读。
谢谢分享