web攻防——xss跨站攻击

原理

将js代码写入前端,当打开前端的时候它会执行前端代码


第一种:反射型(但是很多厂商不会接受这种漏洞)

通过接受ua,然后输出ua ,我们可以进行xss攻击但是没有什么用


第二种:存储型

订单查询系统

当我们输入信息,他就会把订单放到后台管理员的留言板中

当管理员查看订单的时候就会

所以就决定改成可以获取它cookie的js代码

通过xss平台获取

把这个语句放到管理员的留言板之中,管理员打开这个留言板之后,我们的后台就会显示

我们将所获取的cookie去访问管理员后台

但依旧无法使用,因为这个时候session验证,但是这个因为浏览器的限制,有cookie保护措施

因此,我们决定使用beef------xss

首先,在自己的服务器上搭建beef工具,然后再留言板上写

当管理员打开这个留言板,我们本地就会上线它

除此之外还有很多的功能

此外,这个东西还可以进行钓鱼

我们将这段代码 放到个人的博客之中

当我们访问我的博客,它就会自动上线


第三章:dom型(得从白盒里面看代码)

当我输入这些数字之后它会产生一个超链接,超链接就是这个数字的超链接

当我们这么输入时

例二

当我输入url=1

当我们这么输入后

当我们点击这个,再打开就会产生弹窗

相关推荐
樱花开了几轉5 分钟前
React中为甚么强调props的不可变性
前端·javascript·react.js
风清云淡_A6 分钟前
【REACT18.x】CRA+TS+ANTD5.X实现useImperativeHandle让父组件修改子组件的数据
前端·react.js
小飞大王6666 分钟前
React与Rudex的合奏
前端·react.js·前端框架
若梦plus35 分钟前
React之react-dom中的dom-server与dom-client
前端·react.js
若梦plus37 分钟前
react-router-dom中的几种路由详解
前端·react.js
若梦plus37 分钟前
Vue服务端渲染
前端·vue.js
Mr...Gan1 小时前
VUE3(四)、组件通信
前端·javascript·vue.js
OEC小胖胖1 小时前
渲染篇(二):解密Diff算法:如何用“最少的操作”更新UI
前端·算法·ui·状态模式·web
万少1 小时前
AI编程神器!Trae+Claude4.0 简单配置 让HarmonyOS开发效率飙升 - 坚果派
前端·aigc·harmonyos
前端工作日常1 小时前
我学习到的描述项目持续迭代具体成果
前端·测试