一、XSS跨站思路讲解(必看)
1、学习XSS有什么作用?能干什么?(危害范围)
利用JS脚本执行代码,例如:cookie获取、流量指向、钓鱼攻击等。还可以直接拿到后台权限、网马结合等。
2、在实际中如何发现及修复?(深度理解)
由于漏洞产生在前端,那么,发现的话主要是看浏览器的执行 显示,人为手工测试 测试显示地方是否能够自定义。
工具扫描测试:awvs、appscan;
代码修复:自定义过滤,自带函数;
WAF防护:安全狗、WEB防火墙;
3、学习要注意哪些关键地方?
浏览器安全策略,版本;高版本JS执行会失效。
需要受害者去配合,去触发才行,被动攻击。
漏洞产生的地方:数据交互的地方(留言板、数据插入的地方)
二、XSS漏洞原理及分类
xss原理分析:输出问题导致的JS代码被识别执行
xss技术分类:反射型跨站(非持续型)、存储型跨站(持续型),例如:存数据库
xss常见攻击:
