引言 最近打算好好练习一下基础的技能,所以在闲余之暇,花一点时间做做靶场练习 先打算从比较方便的可以在线的练习开始,所以并没有用最常用的DVWA,而就直接用的在线的这个xss靶场开始 此文仅是用来记录我自己的学习心得,有写得不好的地方,望大家见谅 靶场地址 https://xss.haozi.me/ ...
分类:
其他好文 时间:
2020-07-19 00:42:36
阅读次数:
71
一.从输入URL到页面展示,这中间发生了什么 首先来看一下“从输入URL到页面展示完整流程的示意图” 1.1 浏览器展示页面进程介绍 该图是浏览器多进程配合从而完成浏览器的页面跳转、渲染,主要有三个浏览器进程相互配合。 浏览器进程:主要负责用户交互、子进程管理和文件存储等功能,就相当于浏览器的大管家 ...
分类:
其他好文 时间:
2020-07-18 22:07:41
阅读次数:
67
jsON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。其JWT的组成: 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 载荷(Payload) { "iss": "Online JWT Builder", "i ...
分类:
其他好文 时间:
2020-07-17 19:47:02
阅读次数:
68
前言 DVWA靶场都不陌生,最新学习xss,从新又搞了一遍xss部分,从源码方面康康xss的原因,参考了很多大佬的博客表示感谢 更多web安全知识欢迎访问:https://lmg66.github.io/ 环境配置 官网:http://www.dvwa.co.uk/ 下载地址:https://git ...
分类:
其他好文 时间:
2020-07-15 23:28:25
阅读次数:
103
首先新建一个Xss处理的帮助类 public static class XSSHelper { /// <summary> /// XSS过滤 /// </summary> /// <param name="html">html代码</param> /// <returns>过滤结果</return ...
分类:
Web程序 时间:
2020-07-15 01:28:29
阅读次数:
98
X00 <script>alert(1)</script> X01 </textarea><script>alert(1)</script><textarea> X02 "><script>alert(1)</script><" X03 将()替换成空字符 <script>alert`1`</scr ...
分类:
其他好文 时间:
2020-07-14 18:21:47
阅读次数:
78
pikachu之XSS钓鱼 实验思路:在一个存在xss漏洞的一个页面上面嵌入一个请求,当用户打开这个页面时候页面会向我们的后台去发送一个请求,这个请求会返回一个要求用户进行basic认证的一个头部,这时在用户的界面会弹出一个需要身份验证的提示框。当用户在这上面进行认证时,用户的账号密码就会被发送到我 ...
分类:
其他好文 时间:
2020-07-14 00:50:31
阅读次数:
119
前言 学习xss的时候翻阅资料发现了一个文件上传漏洞fuzz字典生成脚本小工具,试了试还不错,分享一下 配置 需要python2环境 工具地址:https://github.com/c0ny1/upload-fuzz-dic-builder 使用方法 $ python upload-fuzz-dic ...
分类:
Web程序 时间:
2020-07-12 22:27:18
阅读次数:
94
常见的浏览器攻击分为两种,一种为XSS(跨站脚本攻击),另一种则为CSRF(跨站请求伪造)。 XSS(跨站脚本攻击) 定义 XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DO ...
分类:
其他好文 时间:
2020-07-12 16:45:33
阅读次数:
123
#前言 XSS又叫跨站脚本攻击,是一种对网站应用程序的安全漏洞攻击技术。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。XSS分为三种:反射型,存储型,和DOM型。下面我会构造有缺陷的代码,从代码分析这三种类型。 如果想要了解XSS基础的可以看我的这篇文章:XSS(跨站脚本攻击)简单 ...
分类:
其他好文 时间:
2020-07-12 01:06:50
阅读次数:
132
