35、WEB攻防——通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持

文章目录


XSS产生于前端的漏洞,常产生于:

XSS分类:

  • 反射型(非持久型)

  • 存储型(持久型),攻击代码被写入数据库中。常见于:写日志、留言、评论的地方

  • DOM型

    DOM型XSS与反射型XSS、存储型XSS的最大区别在于:DOM型XSS前端的数据是传输给前端JS代码进行处理,而反射型XSS、存储型XSS是后端PHP代码对前端数据进行处理。

  • mXSS(突变型XSS)

  • UXSS(通用型XSS)

  • Flash XSS

  • UTF-7 XSS

  • MHTML XSS

  • CSS XSS

  • VBSrcipt XSS

  1. 浏览器会识别并执行HTML代码和JS代码。
  2. 使用XSS平台获取管理员cookie,可能获取不全。
  3. 建议用docker版Beef-XSS平台,里面有很多工具。

URL中没有参数接收XSS payload的话,就是不能写<script>alert(1)</script>,可以尝试在URL路径后写javascript:alert(1)

相关推荐
YBN娜几秒前
Vue实现登录功能
前端·javascript·vue.js
阳光开朗大男孩 = ̄ω ̄=几秒前
CSS——选择器、PxCook软件、盒子模型
前端·javascript·css
minDuck5 分钟前
ruoyi-vue集成tianai-captcha验证码
java·前端·vue.js
小政爱学习!25 分钟前
封装axios、环境变量、api解耦、解决跨域、全局组件注入
开发语言·前端·javascript
魏大帅。31 分钟前
Axios 的 responseType 属性详解及 Blob 与 ArrayBuffer 解析
前端·javascript·ajax
花花鱼37 分钟前
vue3 基于element-plus进行的一个可拖动改变导航与内容区域大小的简单方法
前端·javascript·elementui
k093340 分钟前
sourceTree回滚版本到某次提交
开发语言·前端·javascript
EricWang13581 小时前
[OS] 项目三-2-proc.c: exit(int status)
服务器·c语言·前端
September_ning1 小时前
React.lazy() 懒加载
前端·react.js·前端框架
web行路人1 小时前
React中类组件和函数组件的理解和区别
前端·javascript·react.js·前端框架