前言:
标题真不真,继续往下看,为什么要作者选择这个提交平台,一是作者真菜,二是好过吧,只要是存储xss就给过
本篇是作者的xss备忘录阶段小结,所以读者很有福,能得到大量的姿势(小菜姿势,哈哈哈)
现目前容易且主流的漏洞,作者认为有三种,一是框架漏洞,二是逻辑,三是xss
ok,进入我们的主题
1.xss基础知识和分类
2.xss姿势绕过
3.xss工具测试
4.xss防御
5.总结
好像没什么写的。。。
1.dom
2.反射
3.存储
这里推荐一本书《web前端黑客技术揭秘》
作者这里写的常见基础知识,也是里面的笔记,你说实用性就下面作者的操作就行了,因为我们一般都不会关注这么多,你说知识和技术魅力,这个真的不错;杂乱的笔记,大体写出框架和一些作者关注的点;谅解:
a、使用script标签实现的jsonp跨域可以将服务器响应文本以函数参数的形式返回,浏览器解析js代码时直接就执行了
b、常设置httponly,防止打cookie;但是在head的trace方法开启,有httponly的情况下,也可以进行js的cookie操作,称为xst攻击,简单练习链接 http://www.hackdig.com/?01/hack-11.htm
c、常见的外部url链接
html: