黑客入门如何挖掘XSS

黑客入门如何挖掘XSS

二向箔安全学院

二向箔安全学院

已认证的官方帐号

已关注

3 人赞同了该文章

老生常谈,什么是XSS?什么是XSS漏洞?来看看吧

XSS是什么?

网上很多它的解释,诸如说跨站脚本攻击,将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

我们来重新定义一下(或者为了让更多人能够理解,我们重新解释一下)

比如 3 + 5 = __

这道数学题很简单吧,答案是 8 ,那它是否存在XSS漏洞呢?
答案是 有
这道题没有对答案进行限制,假如我们不知道答案是 8 ,我们可以回答 2 + 6 或者 4 + 4 ,变为 3 + 5 = 2 + 6判断结果也是正确的。这样就在我们不知道正确答案的情况下,绕过检测并正确提交。

其实,XSS也就是如此。

XSS漏洞原理

比如一个简单的输入提交

<p style='color:red'>你好,尊敬的______</p>

我们出其不意,尝试其他的输入,比如像这样

<p style='color:red'>你好啊,尊敬的 xxx<script>alert(1)</script></p>

会发生什么呢?
如果我们输入的代码被执行了,页面出现弹窗,就说明这是一个XSS漏洞。

XSS漏洞挖掘

XSS漏洞并没有想象当中那么复杂。

很多人可能会说,这种漏洞找就已经不存在了,那么简单的漏洞哪儿还有啊,XSS并没有什么用等等之类的话,而我想说的是,弄清楚事物的本质,看清事物真实的样子,才是我们进行漏洞挖掘前最应该做的。

二向箔安全 最近开放了一系列免费的安全技能包,可以花一把 LOL 或者看几个抖音的时间去学习更多黑客技巧、渗透测试、CTF等等方面的知识,让你体验到网络安全的神奇之处。

所以不要把自己拘泥于一个这样的概念中来思考所面临问题的实质。把概念忘了,你才可能看清楚你和事物本身的关系。


编辑于 2019-10-30

网络安全

XSS

黑客 (Hacker)

赞同 3添加评论

分享

收藏

赞同 3

分享

文章被以下专栏收录