web攻防——xss跨站攻击

原理

将js代码写入前端,当打开前端的时候它会执行前端代码


第一种:反射型(但是很多厂商不会接受这种漏洞)

通过接受ua,然后输出ua ,我们可以进行xss攻击但是没有什么用


第二种:存储型

订单查询系统

当我们输入信息,他就会把订单放到后台管理员的留言板中

当管理员查看订单的时候就会

所以就决定改成可以获取它cookie的js代码

通过xss平台获取

把这个语句放到管理员的留言板之中,管理员打开这个留言板之后,我们的后台就会显示

我们将所获取的cookie去访问管理员后台

但依旧无法使用,因为这个时候session验证,但是这个因为浏览器的限制,有cookie保护措施

因此,我们决定使用beef------xss

首先,在自己的服务器上搭建beef工具,然后再留言板上写

当管理员打开这个留言板,我们本地就会上线它

除此之外还有很多的功能

此外,这个东西还可以进行钓鱼

我们将这段代码 放到个人的博客之中

当我们访问我的博客,它就会自动上线


第三章:dom型(得从白盒里面看代码)

当我输入这些数字之后它会产生一个超链接,超链接就是这个数字的超链接

当我们这么输入时

例二

当我输入url=1

当我们这么输入后

当我们点击这个,再打开就会产生弹窗

相关推荐
袁煦丞29 分钟前
数据库设计神器DrawDB:cpolar内网穿透实验室第595个成功挑战
前端·程序员·远程工作
天天扭码37 分钟前
从图片到语音:我是如何用两大模型API打造沉浸式英语学习工具的
前端·人工智能·github
鱼樱前端2 小时前
今天介绍下最新更新的Vite7
前端·vue.js
coder_pig3 小时前
跟🤡杰哥一起学Flutter (三十四、玩转Flutter手势✋)
前端·flutter·harmonyos
万少3 小时前
01-自然壁纸实战教程-免费开放啦
前端
独立开阀者_FwtCoder3 小时前
【Augment】 Augment技巧之 Rewrite Prompt(重写提示) 有神奇的魔法
前端·javascript·github
yuki_uix3 小时前
AI辅助网页设计:从图片到代码的实践探索
前端
我想说一句3 小时前
事件机制与委托:从冒泡捕获到高效编程的奇妙之旅
前端·javascript
陈随易3 小时前
MoonBit助力前端开发,加密&性能两不误,斐波那契测试提高3-4倍
前端·后端·程序员
小飞悟3 小时前
你以为 React 的事件很简单?错了,它暗藏玄机!
前端·javascript·面试