0
点赞
收藏
分享

微信扫一扫

XSS漏洞挖掘利用总结(附个人常用payload)

贵州谢高低 2024-09-22 阅读 8

目录

基础

挖掘思路

案例

绕过思路

个人常用


基础

原理

攻击者嵌入恶意脚本代码到用户会访问到的页面中,用户访问该页面的时候,就会直接执行恶意的js代码

当浏览器解析html的时候遇到<script>、事件属性、伪协议就会进行js解析

类型

反射型:触发点在url参数里面,提交数据到服务器,服务器会返回给浏览器,需要手动发给用户,用户点击之后触发js代码

存储型:提交的恶意代码存储在数据库里面,只要用户访问就可以执行恶意代码

dom型:特殊的反射型xss,并没有经过服务器的处理写到了页面里,典型的就是jquery-xss

self-xss:只有自己才能看到的xss

危害

1.只要js代码能做的事xss就可以做到,最常见的就是盗取cookie或者窃取敏感信息

2.进行网页挂马,篡改网页页面

3.网络钓鱼,诱骗用户访问你的钓鱼页面

4.权限维持,记录后台登录的账户密码

5.配合浏览器漏洞进行rce

6.搭配其他漏洞组合拳,例如ssrf配合反射型xss进行命令执行

举报

相关推荐

0 条评论