web常见攻击方式(xss)

环境搭建
win7虚拟机搭建dvwa网站
下载dvwa,将dvwa配置在phpstudy上,如图
web常见攻击方式(xss)_第1张图片
在外网上登录,我这里的网址是
http://192.168.0.117/dvwa/login。
web常见攻击方式(xss)_第2张图片
登录,账号是admin,密码password
进入页面后,打开security,设置等级,一般从低级开始
web常见攻击方式(xss)_第3张图片
开始测试
1.反射型xss
首先测试低级的反射型xss,在输入框输入 ,这里利用的是web开发的一些语句,alert是显示警告,如果存在xss攻击就会发出警告
在这里插入图片描述
效果图如图所示,这里我们可以看到,存在了xss攻击,通过xss的代码可以将页面cookie获取,实现页面跳转,这也是常用的手段,这里就不去做了。
web常见攻击方式(xss)_第4张图片
这里我们应该观察一下源码,这对我们理解xss攻击有很大帮助
web常见攻击方式(xss)_第5张图片
打开源码信息,我们可以看到,xss攻击本质就是利用开发人员的编程习惯漏洞,如果,加入安全的输入信息,反射型xss就不可能发生了
比如,使用内置的PHP函数(例如“ htmlspecialchars() ”),可以转义任何会改变输入行为的值。
这也是我在刚刚使用时犯的一个错误,这是因为安全等级没有调整,所以我无论如何也无法做出测试结果的原因,就是应为一个“ htmlspecialchars() ”函数,其实安全理解深入一点还是要回归代码的。
2.存储型xss
测试是否存在xss
web常见攻击方式(xss)_第6张图片
效果如图
web常见攻击方式(xss)_第7张图片
输入时,发现存在输入限制,我们可以修改前段 输入,只需要你看懂一些设置代码就可以修改了,这里修改maxlength
web常见攻击方式(xss)_第8张图片
之后就可以输入
web常见攻击方式(xss)_第9张图片
上面语句是可以获取cookie的注入语句
在这里插入图片描述
我这里好像版本不支持,就不去做了,我们应该了解的就是存储型xss的攻击也是利用的输入漏洞,不同的是,这个数据会被存储起来,比如刚才我的那个错误信息就是会一直跳转在那个界面,只有重新启动才会清除。
这是xss 的简单应用暂时就介绍到这里。

你可能感兴趣的:(安全)