黑帽seo培训_网络信息安全_渗透测试培训_若钒安全网

若钒黑帽seo技术及黑帽seo培训,
一对一教学国内外白帽黑帽seo技术!微信/QQ:3909832

Web渗透测试(xss漏洞)

Web渗透测试(xss漏洞) 

  Xss介绍—— XSS (cross-site script) 跨站脚本自1996年诞生以来,一直被OWASP(open web application security project) 评为十大安全漏洞中的第二威胁漏洞。

  也有黑客把XSS当做新型的“缓冲区溢出攻击”而JavaScript是新型的shellcode。

  2011年6月份,新浪微博爆发了XSS蠕虫攻击,仅持续16分钟,感染用户近33000个,危害十分严重。

  XSS最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的。

  由于web应用程序对用户的输入过滤不严产生的。

  攻击者利用网站漏把恶意的脚本代码注入到网页中,当用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采用cookie资料窃取,会话劫持,钓鱼欺骗等攻击手段。

  存储型: 存储型XSS比反射型跨站脚本更具威胁性,并且可能影响到web服务器的自身安全。

  此类XSS不需要用户点击特定的URL就能执行脚本,攻击者事先将恶意JavaScript代码上传或存储到有漏洞服务器中,只要受害者浏览包含此恶意的代码的页面就会执行恶意代码。

  我们可以利用该工具发掘web应用程序中的安全漏洞。

  比如<script> alert(“xss”);</script>会转换为<script> alert(”xss”);</script>,这样XSS就不生效了。

  HEX编码: 可以对语句进行hex编码来绕过XSS规则。



转载请注明出处:黑帽seo培训_网络信息安全_渗透测试培训_若钒安全网 » Web渗透测试(xss漏洞)

若钒黑帽渗透技术-提供最专业的渗透测试培训,黑帽SEO培训,欢迎骚扰!!

若钒黑帽SEO培训 渗透测试技术培训
no cache
Processed in 3.133271 Second.