初識(shí)XSS3
";
?>
瀏覽器測(cè)試:
a.正常請(qǐng)求:
瀏覽器輸入:http://localhost/xss/index.php?param=This is an test
輸出正常
b.瀏覽器輸入:http://localhost/xss/index.php?param=
瀏覽器直接彈出對(duì)話框。
********************
1.1 反射型:
它指的是惡意***者往Web頁面里插入惡意html代碼����,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中Web里面的html代碼會(huì)被執(zhí)行,從而達(dá)到惡意***用戶的特殊目的��。需要用戶點(diǎn)擊一個(gè)惡意的連接�����,才可以***成功���。也叫做 “非持久型XSS”
1.2 存儲(chǔ)型:
XSS代碼被提交給網(wǎng)站-->網(wǎng)站把XSS代碼SetCookie給瀏覽器-->瀏覽器再次請(qǐng)求網(wǎng)站時(shí)提交包含XSS代碼的Cookie-->網(wǎng)站從Cookie中取出包含XSS代碼的某變量并將該變量作為頁面內(nèi)容的一部分返回給客戶端-->客戶端執(zhí)行XSS代碼��。
舉例:***寫了一篇惡意代碼的文章發(fā)表后���,所有訪問的人都會(huì)執(zhí)行這段惡意代碼。
1.3 DOM Based XSS :
DOM—based XSS漏洞是基于文檔對(duì)象模型Document Objeet Model����,DOM)的一種漏洞。DOM是一個(gè)與平臺(tái)��、編程語言無關(guān)的接口�,它允許程序或腳本動(dòng)態(tài)地訪問和更新文檔內(nèi)容、結(jié)構(gòu)和樣式����,處理后的結(jié)果能夠成為顯示頁面的一部分。DOM中有很多對(duì)象�,其中一些是用戶可以操縱的,如uRI ���,location�����,refelTer等�����?��?蛻舳说哪_本程序可以通過DOM動(dòng)態(tài)地檢查和修改頁面內(nèi)容,它不依賴于提交數(shù)據(jù)到服務(wù)器端���,而從客戶端獲得DOM中的數(shù)據(jù)在本地執(zhí)行���,如果DOM中的數(shù)據(jù)沒有經(jīng)過嚴(yán)格確認(rèn),就會(huì)產(chǎn)生DOM—based XSS漏洞�。
********************
2. DOM Based XSS 實(shí)例:
測(cè)試代碼:
測(cè)試:
1.在輸入框輸入 正常字符串
正常響應(yīng)。
2.輸入特殊代碼:
如:
' onclick = alert(/xss/) //
輸入之后頁面代碼變成了:
testLink
執(zhí)行結(jié)果當(dāng)然是:彈出 XSS 啦��!
另外還可以構(gòu)造:
'>
<'
輸入后頁面代碼變成:
<''>
通過這兩個(gè)例子,我加深了對(duì)XSS 原理的理解�����,不錯(cuò)哦���。
文章名稱:初識(shí)XSS3
網(wǎng)頁網(wǎng)址:
http://weahome.cn/article/gpjpgh.html
重慶分公司
重慶分公司
