Red de conocimiento informático - Material del sitio web - Cómo probar vulnerabilidades XSS

Cómo probar vulnerabilidades XSS

Las vulnerabilidades XSS entre sitios se dividen aproximadamente en tres tipos: XSS almacenado, XSS reflejado y DOM XSS. Generalmente se deben a que los parámetros de entrada del usuario del sitio web no se filtran estrictamente y no se llama al JS del navegador.

XSS almacenado:

Generalmente, se construirá un código emergente JS como "lt;scriptgt;alert("XSS")lt;/scriptgt;" se envía a la ventana emergente, este tipo de XSS almacenado se escribe en la página. Si el administrador no lo maneja, existirá de forma permanente. Este tipo de atacante XSS puede implantar código malicioso en el servidor del sitio web. enviar mensajes, etc. Generalmente, se utiliza para robar COOKIE para obtener información y permisos del administrador.

XSS reflejado:

Generalmente, el código XSS se ingresa en el cuadro de entrada del navegador, es decir, la solicitud urlget, por ejemplo: 127.0.0.1/admin.php?key= "gt;lt ;scriptgt;alert("xss")lt;/scriptgt;, también es un código JS emergente. Cuando un atacante envía parámetros de URL con código XSS a la víctima, es posible que la víctima haya robado cookies o archivos "pop". -up boxes". ", este tipo de XSS es de un solo uso y el daño es mucho menor que el tipo de almacenamiento.

tipo dom:

Se usa con frecuencia para minería debido a la revisión del código API laxa. Este tipo de ventanas emergentes DOM XSS pueden explotarse y no son muy dañinas. Se usan principalmente para phishing. En comparación con los tipos de almacenamiento y los tipos de reflexión, los tipos DOM no se usan comúnmente. /p>

Los ataques de secuencias de comandos entre sitios (XSS) son un problema común para los atacantes. Se inserta código de secuencia de comandos malicioso en la página web. Cuando el usuario navega por la página web, se utilizará el código de secuencia de comandos incrustado en la página web. como herramienta de secuencia de comandos cuando el usuario navega por la página web, se ejecutará el código de secuencia de comandos incrustado en la página web, logrando así el propósito de atacar maliciosamente al usuario

/p>.

上篇: Las mejores atracciones en el tour de un día a Taigu 下篇: Cómo desinstalar office2007

Artículos populares