Web漏洞——XSS跨站(一)

发布于 2023-09-17  270 次阅读


分模块学习:

  1. 原理
    • XSS漏洞产生原理
    • XSS漏洞危害
  2. 分类
    • 反射型
    • 存储型
    • DOM型
  3. 手法
    • XSS平台使用
    • XSS工具使用
    • XSS结合其他漏洞
  4. 绕过
    • 代码过滤
    • httponly
    • WAF拦截
  5. 修复
    • 安全修复方案

原理:

在传入数据的时候,未对JS代码进行过滤使得浏览器可以对JS代码执行。(本质是在前端漏洞),常见于输出型函数。危害受到JS代码的影响,浏览器内核版本也会影响。

分类:

  1. 反射型:发包——>后端处理——>回显
  2. 存储型:发包——>后端处理——>存入数据库——>返回到前端——>回显
  3. DOM型:发包——>本地浏览器静态前端代码

DOM和反射型区别,反射型是PHP代码处理(后端语言),DOM型是前端JS代码处理(前端语言)。

DOM可以通过查看代码找出来,而反射型通常是模糊测试。

漏洞判断:

  1. 查看网站报错里面是否存在输入值的回显。

一花一世界,一叶一菩提。