目录
一、认识XSS
1.XSS原理
2.XSS分类
二、XSS漏洞复现
1.搭建靶机进行复现
2.案例解析
2.1第一关
2.2第二关
2.3第三关
2.4第四关
一、认识XSS
1.XSS原理
XSS跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
2.XSS分类
按大类划分为俩类:反射型XSS和存储型XSS。
细分的话反射型XSS又可以分为普通型和DOM型。
二、XSS漏洞复现
1.搭建靶机进行复现
https://xss.pwnfunction.com/直接复制地址到浏览器进行练习。出现以下页面表示成功。
以下为部分漏洞复现详解。
2.案例解析
2.1第一关
解析:主要关注innerHTML。
输入<script>alert(1337)</script>无法运行,这是由于禁用,在innerHtml中不能执行<script>。
虽然加入了,但并没有进行弹窗。
第一种:
第二种:
2.2第二关
解析:关注eval,可以通过连接符进行。但是在url中输入时需要进行将连接符进行编码才可以。
2.3第三关
解析:过滤了<>, 进行测试。
注:虽然弹窗了,但是与客户交互后进行的,违背了题目要求。
如何实现? 使用onfocus取代用户,不用用户进行交互。
onfocus:onfocus 事件在对象获得焦点时发生。
autofocus :当设置该属性后,它规定在页面加载后文本区域自动获得焦点。
2.4第四关
注:这题将所有的方法都过滤掉,引出一个新知识点,dom破坏。
