web安全性测试——XSS跨站攻击
2024-09-05 04:05:43
1.跨站攻击含义
XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。
一个永远关不掉的窗口
while (true) {
alert("你关不掉我~");
}CSRF:跨站请求伪造(Cross-site request forgery),假冒用户在站内的正常操作。绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。
2、如何写xss脚本
下图标题被html解析成一段代码,
3、获取用户cookie
1、获取cookie 使用httpwatch js 保存到本地
js document.cookie 获取当前用户的cookie
传输cookie:设计点击跳转页面,通过get参数获取cookie
其他方法获取
最新文章
- RNN求解过程推导与实现
- apache通过cgi调用exe程序
- rem是如何实现自适应布局的?
- SOLR+LUCENE错误
- Gradle Cheat Sheet
- Bootstrap系列 -- 30. 按钮工具栏
- HDU 1513 Palindrome(最长公共子序列)
- 一些LUA函数(转载)
- jquery ajax 保存讲解
- STL笔记(6)标准库:标准库中的排序算法
- Spinlock
- Uva1343-The Rotation Game-IDA*算法
- shell每日发邮件
- Asp.net笔记(1)
- 获取IIS版本
- centos mail使用外部SMTP发送邮件
- Linux 容器 vs 虚拟机 —— 谁更胜一筹
- iOS 南京互联网大会分享及个人见解 韩俊强的博客
- VueJS教程
- direnv 一个强大的环境变量管理工具