一个菜鸟对xss的探知过程
来源:互联网 发布:apu安装ubuntu 编辑:程序博客网 时间:2024/05/21 17:44
第一次接触到xss是在wooyun,看到那么多xss,可是自己却无从下手,又不懂js,只能百度xss代码来一个个研究。研究到最后还是有点成果,起码知道alert是弹窗口,是最简单来检测xss的代码;src可以链接到另一处。不过现在理解的比较透彻了,其实xss就是在网页中出现了人为构造的恶意js,如果不加防护那么浏览器就会“一视同仁”的执行,谁浏览了这个网页谁就遭殃了。。。之后我就去你努力地寻找xss,在百度一个一个网页的找,有时候十几页也没有结果,但是汗水背后总是有喜悦的,我找到几个存在xss的网站,还都是中大型网站。接着我就在考虑了,怎么来就收cookie呢?几年前的方法是自己建服务器,然后把cookie传到自己的服务器上。但是我问了一个前辈,现在都再用xss平台,方便省事。但是经过我的寻找,开放注册的xss平台都不太靠谱,好的xss平台还没有注册码。。。郁闷。。。最后想,那我自己在新浪云平台上自己搭建xss平台吧,可是就是解决不了访问需要密码的问题。。。郁闷。。。最后找到了两个还不错的xss平台,不过也不稳定,每个月总有那么几次。。。无法访问。。。咳咳,不要瞎想。最后成功拿到了cookie,那怎么才能登陆呢?ie的cookie貌似不让访问,最后试一试抓包改包行不行,这个当然登陆不上,其中原因困扰我好长时间。其实很简单,改包后只是你的改包软件登陆进去了,浏览器在访问的时候还是会发送原来的cookie,当然不会成功了。其实啊d什么的就有改cookie的功能,只是一直没有发现。
就这样我成功的掌握了xss。经过我的很多次实验,发现了一些大网站修补xss的技巧,在这里给大家分享一下(由于本人对代码了解甚少,所以只是给大家提供一个思路)
1.过滤,如果提交内容含有script,img,frame,a等内容,直接删掉。
2.将提交内容进行html编码处理,比如将<script>转化成%3cscript%3e之类的。
3.还有一种比较奇葩的,就是让用户通过选择来提交数据,没有办法构造xss,不过要小心通过改包来构造xss。
- 一个菜鸟对xss的探知过程
- 记录一个菜鸟的起飞过程
- 一个菜鸟对敏捷开发的认识
- 一个菜鸟对自己未来的规划
- 一个大鸟对菜鸟的提点
- 一个菜鸟对OC的积累 -- 属性
- 一个菜鸟对OC的积累 -- 数组
- 一个菜鸟对MVP的认识
- 高手对菜鸟谈对Java一个全新的了解
- 从一个菜鸟到一个程序员高手的学习过程
- 菜鸟对菜鸟的忠告
- 一个菜鸟对OC的积累 -- 类的调用
- 一个菜鸟对OC的积累 -- 类的拓展->类目
- 一个菜鸟对封装,继承等的的简单认知
- 一个菜鸟的oracle导入dmp文件过程
- 一个JDE小菜鸟对新人们的忠告
- 一个菜鸟对未来软件应用方向的思考
- 一个菜鸟对密码学的理解(软件注册加密)
- 【js学习笔记-044】-- 数组类型
- 子类和父类的构造函数
- 在Servlet中使用开源fileupload包实现文件上传功能
- scp port 22: Connection refused
- Why is Linux called a monolithic kernel?
- 一个菜鸟对xss的探知过程
- CreateProcess函数详解及示例
- 笔试面试题之后缀数组
- 【Qt】使用WebBrowser并调用网页中的JS函数
- TCP机制与实现
- java IO流
- C++和Java的语法对比手册
- java中类似c++ goto功能---------label简介
- 程序员技术练级攻略&写给新手程序员的一封信