网安
来源:互联网 发布:情报学研究生知乎 编辑:程序博客网 时间:2024/04/25 08:32
1存储式跨站脚本测试:
目的:初步测试留言系统是否存在存储式跨站漏洞
留言中添加跨站测试的脚本<script>alert("xss test");</script>---->提交观察效果
-------------------------------------------------------------------------------------------------------------------------------------------------------
跨站脚本漏洞(Cross Site Scripting,常简写作XSS)是Web应用程序在将数据输出到网页的时候存在问题,导致攻击者可以将构造的恶意数据显示在页面的漏洞。因为跨站脚 本攻击都是向网页内容中写入一段恶意的脚本或者HTML代码,故跨站脚本漏洞也被叫做HTML注入漏洞(HTML Injection)。
XSS可以分为三类,分别是反射型,存储型,DOM型
反射型的XSS:
类似存储式漏洞,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能注入到动态页面中。(需要欺骗用户自己去点击链接才能触发XSS的是反射型XSS)
存储型的XSS:
该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,骇客将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。(如在论坛发贴处的XSS就是持久型的XSS,XSS存储在数据库中了)
DOM型的XSS:
DOM是Document Object Model(文档对象模型)的缩写。据W3C DOM规范(http://www.w3.org/DOM/),DOM是一种与浏览器,平台,语言无关的接口,使得你可以访问页面其他的标准组件。
简单理解,我们把DOM认为是JavaScript输出的页面,基于DOM的跨站脚本漏洞就是出现在JavaScript代码中的漏洞。
--------------------------------------------------------------------------------------------------
存储式跨站漏洞的简单利用
使用跨站漏洞加载恶意网页将恶意网页(假设http://www.heetian.com)放入留言系统数据库,并在用户端执行
html标签<iframe src = ""></iframe> 用于在一个网页中显示另外一个网页,把一个网站的内容嵌入到另一个网站中。
利用存储式跨站漏洞窃取用户cookie
添加留言,包含以下内容:<script>document.write(document.cookie)</script>有关documen.cookie的知识,参考 http://javacrazyer.iteye.com/blog/748986
那么如何将用户的cookie窃取并保存--而且用户看不到?
- 网安
- 网安
- -安
- 开一张企业网安处方
- 新世纪网安基地VIP脚本入侵
- android安卓开发好网推荐
- 机锋网论坛,学习安卓
- 网安--第一章 计算机网络安全基础
- 网安--第二章 网络安全协议基础
- 网安--第三章 网络安全编程基础
- 网安--第四章 网络安全攻击技术
- 网安--第五章 网络入侵
- 网安--第八章 安全操作系统基础
- 网安--第十二章 网络安全方案设计
- 网安project 密码管理器实现
- 网安实验室CTF 注入篇
- 记录我的网安生涯
- 【网安随笔】ctf-word隐写
- 黑马程序员-C基础-C语言概述
- 周期串(Periodic Strings, UVa455)
- Android应用开发EditText文本内容变化监听方法
- 黑马程序员——基础知识总结_泛型
- 老出现这个问题
- 网安
- C#数据触发器
- [Android]LayoutInflater的inflate方法半详解
- 输入一行字符串(单词和若干空格), 输出该行单词个数 这里用到判断字符与否的isalpha
- 好玩的WPF第四弹:用Viewport2DVisual3D实现3D旋转效果
- IOS - 音频
- Swift项目中调用Objective-C的库
- 北大OJ_1007题:DNA Sorting
- java 值传递 引用传递(又叫地址传递,对象传递)