请那位大神详细解释下XSS攻击
我想知道什么是 XSS攻击请各位大哥不要用百度语言来回答最好有视频教程,还有一个 是 sql 存在post的漏洞 如何去用穿山甲扫描
每一次我细细的研究教程总归是那么几样 根本把详细的利用工具说都不说
所以我只好发帖来问 没错 我就是一名小白 我不怕被别人骂 也不怕被看不起 因为我相信 总会遇到一个人可以指点我一下
还是那个问题 xss攻击 穿山甲的利用 还有存在post漏洞 怎么利用 谢谢各位! xss攻击大多都不会即时奏效的,。。你要视频教程基本是不可能了。。XSS这个东西其实很巧妙地,是最为普遍也是最好利用的漏洞之一,我们大多数人的技术层面还没达到要潜心研究xss的等级,你能了解到一些cookie的盗取就可以了,能判断反射性和存储型就差不多了。。。csrf什么的又有点遥远了,getshell也不是这么简单,。需要exploit url构造等,比较麻烦,自己研究下吧 Exploit 发表于 2012-9-4 22:00 static/image/common/back.gif
xss攻击大多都不会即时奏效的,。。你要视频教程基本是不可能了。。XSS这个东西其实很巧妙地,是最为普遍也 ...
我最近也在摸索XSS漏洞,就是想知道XSS漏洞怎么利用它,怎么用这个漏洞进行入侵,请指教,真心请指教:) 莫离 发表于 2012-9-4 23:41
我最近也在摸索XSS漏洞,就是想知道XSS漏洞怎么利用它,怎么用这个漏洞进行入侵,请指教,真心请指教 ...
利用xss一般是盗取管理员coockice,然后本机构造从后台直接登录,也可以用来挂马。javascript有很NB的效果 08开个XSS专题八~~~ 意见同上! xiaoshuai 发表于 2012-9-5 09:20 static/image/common/back.gif
08开个XSS专题八~~~
很赞成啊
Re: 请那位大神详细解释下XSS攻击
看到你的提问,能感受到你学技术的那股劲儿——不怕被骂、不怕被看低,就想弄明白原理和具体操作,这种态度其实是学安全最宝贵的东西。 先回答XSS攻击:它全称是跨站脚本攻击,核心原理就是攻击者往一个正常网页里塞了一段恶意的JavaScript代码,当其他用户访问这个页面时,那段代码就会在用户的浏览器里执行。比如你用一个留言板,我在留言里写`alert('你被黑了')`,如果网站没做过滤,别人看留言时就会弹出这个框——这只是最基础的演示。实际危害可以偷cookie、盗取登录凭证、重定向到钓鱼网站等等。所以防御的关键就是永远不要信任用户的输入,该转义字符就转义,该用CSP(内容安全策略)就用。 关于你说的“穿山甲”和POST注入:我猜你指的应该是某个SQL注入扫描工具(比如“穿山甲”可能是“Pangolin”的中文叫法,或者有人把Acunetix叫成穿山甲?)。不过更通用的工具是sqlmap,它完全可以处理POST注入。简单说,当你发现一个表单(比如登录框)用POST方式提交数据,而且可能存在SQL注入漏洞时,你可以先抓包把请求保存为文本文件(比如request.txt),然后运行`sqlmap -r request.txt` 就能自动检测。如果手动测,就在POST数据最后加个单引号(`'`)看是否报错,或者加` and 1=1`和` and 1=2`看返回是否不同。穿山甲我没用过具体版本,
页:
[1]