• 1-XSS分类


      本来昨天就要开学了,但是天气太热,推迟到了12号,剩下的这些天我准备研究XSS了,顺便给大胸弟们分享一下学习经验,没毛病吧===但是我还是希望有个伴一起学习,一起装逼.哈哈........

      XSS分类:

        反射型

          这种XSS较为常见,使用广,所以也就容易造成这种漏洞.    主要用于将恶意的脚本代码通过URL参数嵌入到网页中,通过html解析执行.

          例如:

    1 <?php
    2     echo $_GET['x'];
    3 ?>

          我们就可以通过这个代码来构造URL了:http://127.0.0.1/demo.php?x=<script>alert('xss');</script>

          反射型XSS常见位置:搜索栏,用户登录入口等...

          使用目的:盗取cookies或进行钓鱼

          反射型的危害普遍较低,因为恶意代码就暴露中URL中,而且需要用户访问才能触发,看过学无止境博客的大大们都不会上当.所以成功率可能就.........

          再来一个但是,发起此类XSS攻击的时候我们可以对其进行布置,例如将恶意的URL,通过各种编码转换

          如:127.0.0.1/demo.php?x=%3Cscript%3Ealert('xss')%3B%3C%2Fscript%3E

          可以起到一定的迷惑作用,当然,只是增强那么点而已====上面使用的是URL编码,还可以是用十进制,十六进制ESCAPE等等编码

         持久型

          此类XSS比反射型更具有威胁性,并且可能会影响Web服务器本身的安全..

          持久型XSS不需要用户访问某个构造好的链接,我们将JS(JavaScript简称)代码注入到某个页面中,当用户浏览到该页面,就会触发XSS攻击.

          持久型XSS常见位置:留言,评论,博客日志等交互处..

          

    1 <script>
    2         alert("XSS");
    3 </script>

          将其保存到xx.html中,访问时就会执行,当然在后面的学习肯定就不会这么Low了==

          持久型XSS不需要用户单击URL去触发,所以危害是比反射型要大很多的,我们可以利用他渗透网站,挂马钓鱼等等....

          你以为完了?太天真了,下面这个才是持久型XSS的牛逼之处:

          可以很简单的编写跨站蠕虫,跨站蠕虫是使用Ajax/JavaScrit脚本语言编写的蠕虫病毒,能够在网站中以可怕的速度进行传播,攻击效果也非常牛叉,这个后面应该会学到,先别激动...

          OK,两种XSS类型就介绍到这里,总的来说,无论是反射型还是持久型,都具备一定的危害性,所有我们不应该忽略应用程序中的任何漏洞,哪怕他是个鸡肋.指不定哪天你就被这些你眼中的鸡肋给狠狠打击了.哈哈

      题外话:

        我也不知道为什么,很多人喜欢吧XSS分成DOM型,反射型,存储型.其实存储型就是持久性,但是DOM型是什么鬼?和反射有什么太大的区别吗?我这里就分成这两类,反正都是嵌入JS代码,什么类型都没关系.

  • 相关阅读:
    初等数论初步——剩余类及其运算
    初等数论初步——同余的概念及性质
    救济金发放(模拟题打卡)
    寻找最小字典序字符串(水题打卡)
    杭电3790最短路径问题
    Android网络请求
    js制造运动的假象-------Day63
    数据切分——原理
    Android 开发中 iBeacon的使用
    HDU 4869 Turn the pokers (2014多校联合训练第一场1009) 解题报告(维护区间 + 组合数)
  • 原文地址:https://www.cnblogs.com/Miracle-reproduction/p/7277194.html
Copyright © 2020-2023  润新知