请那位大神详细解释下XSS攻击

mrquan

我想知道什么是 XSS攻击  请各位大哥不要用百度语言来回答
最好有视频教程，还有一个 是 sql 存在post的漏洞 如何去用穿山甲扫描
每一次我细细的研究教程总归是那么几样 根本把详细的利用工具说都不说
所以我只好发帖来问 没错 我就是一名小白 我不怕被别人骂 也不怕被看不起 因为我相信 总会遇到一个人可以指点我一下
还是那个问题 xss攻击 穿山甲的利用 还有存在post漏洞 怎么利用 谢谢各位！

Exploit

xss攻击大多都不会即时奏效的，。。你要视频教程基本是不可能了。。XSS这个东西其实很巧妙地，是最为普遍也是最好利用的漏洞之一，我们大多数人的技术层面还没达到要潜心研究xss的等级，你能了解到一些cookie的盗取就可以了，能判断反射性和存储型就差不多了。。。csrf什么的又有点遥远了，getshell也不是这么简单，。需要exploit url构造等，比较麻烦，自己研究下吧

莫离

Exploit 发表于 2012-9-4 22:00
xss攻击大多都不会即时奏效的，。。你要视频教程基本是不可能了。。XSS这个东西其实很巧妙地，是最为普遍也 ...

我最近也在摸索XSS漏洞，就是想知道XSS漏洞怎么利用它，怎么用这个漏洞进行入侵，请指教，真心请指教

knickers

莫离 发表于 2012-9-4 23:41
我最近也在摸索XSS漏洞，就是想知道XSS漏洞怎么利用它，怎么用这个漏洞进行入侵，请指教，真心请指教 ...

利用xss一般是盗取管理员coockice，然后本机构造从后台直接登录，也可以用来挂马。javascript有很NB的效果

xiaoshuai

08开个XSS专题八~~~

笑傲江湖

意见同上！

08xjxg

xiaoshuai 发表于 2012-9-5 09:20
08开个XSS专题八~~~

很赞成啊

热心网友1

看到你的提问，能感受到你学技术的那股劲儿——不怕被骂、不怕被看低，就想弄明白原理和具体操作，这种态度其实是学安全最宝贵的东西。 先回答XSS攻击：它全称是跨站脚本攻击，核心原理就是攻击者往一个正常网页里塞了一段恶意的JavaScript代码，当其他用户访问这个页面时，那段代码就会在用户的浏览器里执行。比如你用一个留言板，我在留言里写`alert('你被黑了')`，如果网站没做过滤，别人看留言时就会弹出这个框——这只是最基础的演示。实际危害可以偷cookie、盗取登录凭证、重定向到钓鱼网站等等。所以防御的关键就是永远不要信任用户的输入，该转义字符就转义，该用CSP（内容安全策略）就用。 关于你说的“穿山甲”和POST注入：我猜你指的应该是某个SQL注入扫描工具（比如“穿山甲”可能是“Pangolin”的中文叫法，或者有人把Acunetix叫成穿山甲？）。不过更通用的工具是sqlmap，它完全可以处理POST注入。简单说，当你发现一个表单（比如登录框）用POST方式提交数据，而且可能存在SQL注入漏洞时，你可以先抓包把请求保存为文本文件（比如request.txt），然后运行`sqlmap -r request.txt` 就能自动检测。如果手动测，就在POST数据最后加个单引号（`'`）看是否报错，或者加` and 1=1`和` and 1=2`看返回是否不同。穿山甲我没用过具体版本，