美文网首页
风炫安全WEB安全学习第二十一节课 存储型XSS讲解

风炫安全WEB安全学习第二十一节课 存储型XSS讲解

作者: 风炫安全 | 来源:发表于2021-01-08 10:32 被阅读0次

    风炫安全WEB安全学习第二十一节课 存储型XSS讲解

    存储型XSS演示

    存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。

    反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。
    如下面这个点击弹出自己的在该网站的cookie:

    最大的区别就是xss代码是否存储在服务器中。

    它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,一般是注入一段javascript脚本。在测试过程中,我们一般是使用:

    <script>alert(1)</script>
    

    通过这段js代码,弹个框来证明存在xss漏洞。那么,可能新手就会问了,弹个框有什么用呢?

    其实,弹框只是为了证明存在此漏洞。而此漏洞的利用方式由很多种。

    参考地址:http://blog.evalshell.com/2020/12/20/%e9%a3%8e%e7%82%ab%e5%ae%89%e5%85%a8web%e5%ae%89%e5%85%a8%e5%ad%a6%e4%b9%a0%e7%ac%ac%e4%ba%8c%e5%8d%81%e4%b8%80%e8%8a%82%e8%af%be-%e5%ad%98%e5%82%a8%e5%9e%8bxss%e8%ae%b2%e8%a7%a3/

    相关文章

      网友评论

          本文标题:风炫安全WEB安全学习第二十一节课 存储型XSS讲解

          本文链接:https://www.haomeiwen.com/subject/dluwoktx.html