首发地址:我的个人博客
前言
本文章产生的缘由是因为专业老师,让我给本专业的同学讲一哈SQL注入和XSS入门,为了备课,于是产生了这篇文章。
一、课程目标
听完这节课你能学到些什么
- 知道什么是Xss
- 实现最基础的Xss
- 学会使用Beef Xss工具
- 了解一些Web安全基本知识
二、初识XSS
1 什么是XSS攻击
• XSS(Cross Site Script),跨站脚本攻击,OWASP Top10之一
• 向网页内嵌入恶意Java script代码
2 XSS分类
• 反射型 -- 前端->后端->前端
• 存储型 -- 前端->后端->数据库->前端
• DOM型 -- 前端
3 XSS常用攻击手段
- 窃取网页浏览中的cookie值
当能够窃取到用户 Cookie 从而获取到用户身份时,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。
- 钓鱼欺骗:
最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼 JavaScript 以监控目标网站的表单输入。
- 网站挂马
跨站时利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。
- 垃圾信息发送
比如在 SNS 社区中,利用 XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
- 劫持用户 Web 行为
一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为,监视用户的浏览历史,发送与接收的数据等等。
- XSS 蠕虫
XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施 DDoS 攻击等。
三、初试XSS
1 XSS初体验
往DVWA靶场插入下方JS,会弹框
;
当然还可以嵌入HTML和CSS,但是用处不大
;
Hi!我是简简