".$input."";?>浏览器测试"/>

文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

初识 XSS 3

2023-01-31 02:25

关注

XSS长期被列为web 安全的大敌,那么什么是 Xss 呢?看如下列子:

1:

php 页面:


<?php
    $input=$_GET["param"];
        echo "<div>".$input."</div>";
?>

浏览器测试:


a.正常请求:

浏览器输入:http://localhost/xss/index.php?param=This is an test

输出正常

b.浏览器输入:http://localhost/xss/index.php?param=<script>alert(/xss/)</script>

浏览器直接弹出对话框。

********************


1.1 反射型:

它指的是恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意***用户的特殊目的。需要用户点击一个恶意的连接,才可以***成功。也叫做 “非持久型XSS”


1.2 存储型:

XSS代码被提交给网站-->网站把XSS代码SetCookie给浏览器-->浏览器再次请求网站时提交包含XSS代码的Cookie-->网站从Cookie中取出包含XSS代码的某变量并将该变量作为页面内容的一部分返回给客户端-->客户端执行XSS代码。

举例:***写了一篇恶意代码的文章发表后,所有访问的人都会执行这段恶意代码。


1.3 DOM Based XSS :

DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI ,location,refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM—based XSS漏洞。

********************

2. DOM Based XSS 实例:

测试代码:

<html>
<body>
<script>
function test(){
  var str=document.getElementById("text").value;
  document.getElementById("t").innerHTML ="<a href='"+str+"'>testLink</a>";
}
</script>
<div id="t"></div>
<input type="text" id = "text" value=""/>
<input type="button" id="s" value="write"  />
</body>
</html>

测试:

1.在输入框输入 正常字符串

正常响应。

2.输入特殊代码:

如:

' onclick = alert(/xss/) //

输入之后页面代码变成了:

<a href=''  // ' >testLink</a>

执行结果当然是:弹出 XSS 啦!

另外还可以构造:

'><img src=# onerror=alert(/xss/) /> <'

输入后页面代码变成:

<a href=''><img src=# onerror=alert(/xss/) /><''></a>


通过这两个例子,我加深了对XSS 原理的理解,不错哦。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯