xss 漏洞

一、存储型XSS漏洞

1、存储型xss漏洞就是将js代码存储到服务器上,然后实施攻击

2、访问该漏洞地址

http://192.168.139.129/pikachu/vul/xss/xss_stored.php

xss 漏洞_第1张图片

 3、可以随便留言,留一段js代码,不显示内容,js代码会直接执行,弹窗,只要该留言不删除,任何人访问到该页面都会弹窗

xss 漏洞_第2张图片

二、反射性XSS漏洞(GET和POST)

1、一次性攻击,将存在漏洞的url发送给目标,让其点击便会触发漏洞

2、GET型,将123替换为

然后将该地址发送出去,谁点击就会触发漏洞

xss 漏洞_第3张图片

3、POST型,将提交的内容改为

获取该用户的cooki信息

xss 漏洞_第4张图片

三、DOM型XSS漏洞

1、当源码内容与url有交互的时候就可能产生该漏洞

2、随便输入一段字符,点击"说出你的伤心事",然后再点击"费尽心机。。",会生成一个连接"就让往事。。。"

xss 漏洞_第5张图片

3、我们审查就让往事都随风的元素,里面读取了url里面我们提交的内容

xss 漏洞_第6张图片 

4、构造payload

' οnclick="alert(document.cookie)">

按上面步骤,让源码读取提交的内容

5、点击就让往事都随风,弹出我们需要的内容 

 xss 漏洞_第7张图片

 

 

 

 

你可能感兴趣的:(软件应用,前端)