对于初了解xss漏洞的人来说,XSS漏洞的危害就是获取受害者的cookie,来进行 ‘cookie劫持’。
XSS漏洞简介
<p>a</p>
</p><script>alert("1")</script><p>
,这个地方的代码就会变成这样:<p></p>
<script>alert("1")</script>
<p></p>
第一 cookie劫持:
<script>alert(document.cookie)</script>
第二 构造GET或POST请求:
<script>window.location.href='////www.xxx.com/index.php?type=delete&id=1';</script>
第三 钓鱼
第四 识别用户浏览器
<script>alert(navigator.userAgent)</script>

第五 识别用户安装的软件
try{
var Obj=new ActiveXObject('XunLeiBHO.ThunderIEhelper');
}
catch(e){
//异常
}
第六 获得用户真实ip地址
第七 判断用户是否访问某个网站
第八 蠕虫
XSS绕过方式
JS编码 HTML编码 URL编码 长度绕过 标签绕过(标签闭合,标签优先性) window.name利用 Flash XSS 利用Javascript开发框架漏洞 利用浏览器差异 关键字、函数 XSS防护方法 过滤输入的数据,非法字符 对数据进行编码转换 添加HttpOnly 输入合法性检查 白名单过滤标签 DOM XSS防御
作者:codingnote
来源:https://codingnote.cc/p/696976/
评论