XSS漏洞原理分析
昨天還準備好好的思考把這個漏洞就原理給好好的在本地復現一下,再找找資料的時候,看到我認識的好多朋友都都有過簡單的搭建復現例子,想著算求了,我也不本地復現搭建了,等玩XSS攻防測試的源碼再貼吧。
XSS用我個人的理解就是該網頁源碼沒有對輸入輸出進行過濾,導致用戶輸入的js代碼被系統默認為網頁源碼並執行了,我先寫個簡單的反射XSS代碼。
<script>alert(shiyan)</script>
這個<script></script>標籤是js代碼里的,就是javascript這個語言里的,alert()這個是輸出的意思,把裡面的字元串或者數字,輸出出來。好了我個人的就寫到這裡吧,不雜詳細,但是我對原理就是這麼理解的,等搭建XSS平台這個,我再好好詳細的寫寫,不能直接貼別人的了,畢竟我也對呢個不雜精通,知識知道大概的原理和構造,具體的編寫代碼,不是很會,畢竟我html和js我都是不咋會。。。
好了,下面貼一個在 freebuf 上的文章,講解的XSS的原理和解剖的很是詳細,等我自己閑的沒事了,也方便我自己看,不要再翻翻找找。
print 先點擊圖片放大,然後再點擊右鍵查看圖片,在放大查看,這樣就是最大化的查看,和瀏覽器屏幕一般大的。
原貼地址: XSS的原理分析與解剖 - FreeBuf.COM | 關注黑客與極客
XSS漏洞原理就是這麼簡單,但是利用的起來,卻不簡單,可以說是高危漏洞,如果編寫關於XSS的利用方法,可以說一本書都寫不完, 比如說簡單的釣魚,截取cookie,等等。
好了,這個XSS原理備忘錄就這樣吧。
推薦閱讀:
※如何評價 XSS 在黑客攻防中的地位或重要性?
※XSS學習之以關點面 1~5關
※XSS.TV挑戰賽(三)
※XSS技術入門專題—第三期技術專題
TAG:XSS |