用户
搜索

[思路/技术] XSS用法总结整理 heatlevel

该用户从未签到

实习版主

Rank: 7Rank: 7Rank: 7

13

主题

57

帖子

322

魔法币
收听
16
粉丝
1
注册时间
2017-7-21
发表于 2019-9-5 10:16:27 924270
0x00 前言

有人私聊我: XSS这块有没有什么了解或者心得总结什么的 说是想要参考
  
我就随手回了句  春秋搜索就好了

然而 这哥们去没多久 就又回来了 说没找到  找到的几乎全是对站点使用某条xss的一些思路

惆怅!  那好吧 ,  那我就来写一篇吧
timg.jpg


0x01 XSS介绍

1. XSS分类
(1) 反射型XSS
(2)存储型XSS
(3)DomXSS
(4) 通用型XSS(全称Universal Cross-Site Scripting,翻译过来就是通用型XSS 简称UXSS)   
(5) 突变型XSS ( 介绍: mXS()突变 XSS) 是当不可信数据在 DOM innerHTML 属性的上下文被处理并通过浏览器发生突变,导致变成一种有效的 XSS 向量的一种 XSS 漏洞。在 mXSS,一个看起来无害的可以通过客户端或服务端XSS过滤器的用户指定的数据通过浏览器执行引擎发生突变可以反射回一个有效的 XSS 向量。XSS 过滤器不能防止 mXSS))
2.UXSS由于前面提到的几种XSS有什么区别?
常见的XSS攻击的是因为客户端或服务端的代码开发不严谨等问题而存在漏洞的目标网站或者应用程序。这些攻击的先决条件是页面存在漏洞,而它们的影 响往往也围绕着漏洞页面本身的用户会话。换句话说,因为浏览器的安全功能的影响,XSS攻击只能读取受感染的会话,而无法读取其他的会话信息,也就是同源 策略的影响。
UXSS保留了基本XSS的特点,利用漏洞,执行恶意代码,但是有一个重要的区别:
不同于常见的XSSUXSS是一种利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型。

讲了这么多大家应该明白,通俗的说,就是原来我们进行XSS攻击等都是针对Web应用本身,是因为Web应用本身存在漏洞才能被我们利用攻击;而UXSS不同的是通过浏览器或者浏览器扩展的漏洞来”制作XSS漏洞”,


0x02 准备
<script></script>   script: 标签用于定义客户端脚本,比如 JavaScriptscript 元素既可以包含脚本语句,也可以通过 src 属性指向外部脚本文件。必需的 type 属性规定脚本的 MIME 类型。JavaScript 的常见应用时图像操作、表单验证以及动态内容更新

Script:属性
   1.        属性                  描述
2.        type          MIME-type             指示脚本的 MIME 类型。
3.        async        async      规定异步执行脚本(仅适用于外部脚本)。
4.        charset      charset    规定在外部脚本文件中使用的字符编码。
5.        defer         defer       规定是否对脚本执行进行延迟,直到页面加载为止。
6.        language    script      不赞成使用。规定脚本语言。请使用 type 属性代替它。
7.        src            URL         规定外部脚本文件的 URL。
8.        xml:space  preserve   规定是否保留代码中的空白。
( 注意 <script> 标签默认支持 HTML 中的全局属性。)

游客,如果您要查看本帖隐藏内容请回复

cript: 标签用于定义客户端脚本,比如 JavaScript。script 元素既可以包含脚本语句,也可以通过 src 属性指向外部脚本文件。必需的 type 属性规定脚本的 MIME 类型。JavaScript 的常见应用时图像操作、表单验证以及动态内容更新
使用道具 举报 回复
李沫 发表于 2019-9-6 14:43
非常感谢 你的分享

也非常感谢你暖心的回复
使用道具 举报 回复
总结的太好了 正好需要一篇这种讲解xss的文章来学习 感谢一波
使用道具 举报 回复
            
使用道具 举报 回复
唉。。。你又皮了,我也不知道要说什么好就这样算了

使用道具 举报 回复
666666666666666669999999999999999999999
使用道具 举报 回复
66666666666666666666666666666666666666
使用道具 举报 回复
1111111111111111111111111111111111111
使用道具 举报 回复
村长CZ 管理员 有事找村长QQ:780876774 i春秋认证 幽默灌水王 春秋文阁 春秋达人 春秋巡逻 春秋游侠 积极活跃奖 核心白帽
沙发
发表于 2019-9-5 10:21:10
让我们一起干大事!
村里现在正在招聘:村委宣传队!
有兴趣的表哥加村长QQ:780876774!
使用道具 举报 回复
6666666666666666666666666666666666
使用道具 举报 回复
6666666666666666666666666666666666
使用道具 举报 回复
发表于 2019-9-5 14:59:27
666666666666
使用道具 举报 回复

666666666666
使用道具 举报 回复
发表于 2019-9-5 17:26:01
使用道具 举报 回复
顶顶顶   来学习了
使用道具 举报 回复
发表于 2019-9-5 20:41:39
谢谢分享
有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
使用道具 举报 回复
回复。。。
使用道具 举报 回复
字太小了
使用道具 举报 回复
发表于 2019-9-6 09:06:26
66666666666666666666666666666
使用道具 举报 回复
学习了
使用道具 举报 回复
发表于 2019-9-6 10:48:15
大佬总结啦!!
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册