35、WEB攻防——通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持

  • 开发
  • 63

文章目录


在这里插入图片描述
在这里插入图片描述

XSS产生于前端的漏洞,常产生于:
在这里插入图片描述
XSS分类:

  • 反射型(非持久型)
    在这里插入图片描述

  • 存储型(持久型),攻击代码被写入数据库中。常见于:写日志、留言、评论的地方
    在这里插入图片描述

  • DOM型
    DOM型XSS与反射型XSS、存储型XSS的最大区别在于:DOM型XSS前端的数据是传输给前端JS代码进行处理,而反射型XSS、存储型XSS是后端PHP代码对前端数据进行处理。
    在这里插入图片描述

  • mXSS(突变型XSS)

  • UXSS(通用型XSS)

  • Flash XSS

  • UTF-7 XSS

  • MHTML XSS

  • CSS XSS

  • VBSrcipt XSS

  1. 浏览器会识别并执行HTML代码和JS代码。
  2. 使用XSS平台获取管理员cookie,可能获取不全。
  3. 建议用docker版Beef-XSS平台,里面有很多工具。

URL中没有参数接收XSS payload的话,就是不能写<script>alert(1)</script>,可以尝试在URL路径后写javascript:alert(1)
在这里插入图片描述

阅读全部

相关推荐

  5. day36WEB攻防-通用漏洞&XSS &MXSS&UXSS&FlashXSS&PDFXSS

    2024-01-25 19:48:01       66 阅读

  7. day38WEB攻防-通用漏洞&XSS&绕过修复&http_only&CSP&标签符号

    2024-01-25 19:48:01       48 阅读

  9. XSS三-WEB攻防-XSS&Cookie盗取&表单劫持&网络钓鱼&溯源分析&项目平台框架

    2024-01-25 19:48:01       44 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-01-25 19:48:01       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-01-25 19:48:01       101 阅读

  9. 在Django里面运行非项目文件

    2024-01-25 19:48:01       82 阅读

  19. Python语言-面向对象

    2024-01-25 19:48:01       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-01-25 19:48:01       85 阅读

热门阅读

  2. 内部类的学习2

    2024-01-25 19:48:01       60 阅读

  7. webpack之核心概念及安装与使用

    2024-01-25 19:48:01       57 阅读

  14. LeetCode2865. Beautiful Towers I

    2024-01-25 19:48:01       56 阅读

  19. 什么是IDE?新手用哪个IDE比较好?

    2024-01-25 19:48:01       61 阅读