码迷,mamicode.com
首页 > Web开发 > 详细

web安全性测试——XSS跨站攻击

时间:2019-10-27 10:28:40      阅读:131      评论:0      收藏:0      [点我收藏+]

标签:csrf   运行   oss   cookie   lin   tin   测试   class   代码   

1.跨站攻击含义

 

XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。

一个永远关不掉的窗口
while (true) { alert("你关不掉我~"); }

CSRF:跨站请求伪造(Cross-site request forgery),假冒用户在站内的正常操作。绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。

2、如何写xss脚本

下图标题被html解析成一段代码,

技术图片

技术图片

3、获取用户cookie 
1、获取cookie 使用httpwatch js 保存到本地

技术图片

js document.cookie 获取当前用户的cookie

技术图片

传输cookie:设计点击跳转页面,通过get参数获取cookie

其他方法获取 

技术图片

 

web安全性测试——XSS跨站攻击

标签:csrf   运行   oss   cookie   lin   tin   测试   class   代码   

原文地址:https://www.cnblogs.com/orangezhangzz/p/11746648.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!