Web安全之xss
阿新 • • 發佈:2018-11-26
1>XSS漏洞是Web應用程式中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定方法,那麼就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為,難以看到XSS漏洞的威脅,而該病毒則將其發揮得淋漓盡致。
2>XSS攻擊分為兩類,一類是來自內部的攻擊,主要指的是利用程式自身的漏洞,構造跨站語句,如:dvbbs的showerror.asp存在的跨站漏洞。
3>另一類則是來自外部的攻擊,主要指的是自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透到一個站點,我們自己構造一個有跨站漏洞的網頁,然後構造跨站語句,欺騙目標伺服器的管理員開啟。
操作
<1.1>輸入http://192.168.1.3/1/index.php,點選提交可以看到題目過濾了XSS三個英文字母。
<1.2>輸入<script>alert(String.fromCharCode(120,115,115))</script>可以繞過。
<1.3>點選提交會彈出flag
<1.4>按f12開啟偵錯程式,在瀏覽器的console裡面輸入alert('xss')即可。
<1.5>按回車會彈出flag
<1.6>訪問http://192.168.1.3/1/flag.php?msg=xss即可獲取flag.
<1.7>使用分號截斷<script>alert("xss");;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;</script>
<1.8>然後彈出flag。