xss类型

作者: up_shang | 来源:发表于2017-03-21 11:15 被阅读0次

1.反射型,以我现在看来就是卵用型和社工配合的卵用型。发发邮件嘛。猥琐一点的就是对头部ip进行改变。有工具X-Forwarded-For Header、Modify Headers、REMOTE_ADDR(这个不行)

2.储存型。可以CSRF。有用型

3.DOM型。不清楚

4.FLASH(XSF:关注有作用的函数:getURL  navigateToURL  ExternalInterface.call  ExternalInterface.call  htmlText  addcallback)、PDF型

大概有点懂了,反射型xxs就是通过修改会用到元素id,将其改为脚本程序并独立运行的过程。

要独立运行就要完成标签闭合,引号对称等内容。而大部分会像SQL用\或者\\来阻止你闭合。当然还要考虑标签优先级。。。而好用一点的独立运行脚本测试时都喜欢用弹框。或者on事件触发。。。哈哈。

工具介绍:现在市面上的软件(JSky、Safe3WVS、Netsparker等)都可以挖掘出反射XSS,但是想要那些更隐蔽的XSS还是需要手工的,我先使用软件挖掘一些反射XSS,然后介绍手工挖掘。

懂2:http://www.freebuf.com/articles/web/42727.html  POST与GET 。在网页中找到你的注入。看过滤。储存型 比如留言框什么的。加上你的xss平台地址等喽。。。

绕过语句总结与更新.基本语法:<script>alert(“helllooo”)</script>

1.双写script,

2.<body onload=alert('XSS')>

3.<img src=x onError=alert("xss")>

相关文章

  • Web漏洞分类

    普通反射型XSS存储型XSS基于DOM的XSS基于Flash的XSS 写类型CSRF读类型CSRFURL跳转漏洞 ...

  • XSS--LOG-1

    XSS总结: xss分为三种,反射型xss,DOM型XSS及存储型XSS,不同类型的XSS的危害不同,有兴趣的...

  • web安全1

    xss 类型 Dom Based Xss、反射型Xss和存储型Xss 攻击 获取cookie基本是配合csrf一起...

  • xss类型

    1.反射型,以我现在看来就是卵用型和社工配合的卵用型。发发邮件嘛。猥琐一点的就是对头部ip进行改变。有工具X-Fo...

  • 安全测试基础之 XSS

    在web项目安全漏洞中,XSS是最为流程的漏洞类型之一,今天就来介绍一下XSS。 01 — XSS介绍 跨站脚本攻...

  • xss漏洞以及防御实现

    XSS三种类型 存储型XSS:数据库中存在XSS攻击的数据,若数据未经过任何转义,返回给客户端。被浏览器渲染,就可...

  • 白帽子讲Web安全——笔记(三 ) XSS

    XSS跨站脚本攻击 含义: 通过HTML注入篡改网页,插入恶意脚本 类型 反射型XSS把用户输入反射给浏览器(也叫...

  • 2018-01-07 关于XSS前端防范措施的思考

    什么是xss? 定义cross site script垮站脚本攻击demo: alert('alert') 类型反...

  • 跨站攻击脚本-XSS

    XSS: Cross Site Scripting XSS 概念 XSS 分类 反射型xss攻击图示 XSS 攻击...

  • XSS payload.

    alert('XSS') alert("XSS") alert('XSS') alert("XSS") S...

网友评论

      本文标题:xss类型

      本文链接:https://www.haomeiwen.com/subject/fgthbttx.html