XSS学习笔记_dvwa不能弹出-程序员宅基地

  • XSS介绍以及分类

  • XSS介绍

XSS (cross site scripting)跨站脚本,较适合的方式应该叫做跨站脚本攻击,诞生于1996年,人们经常将跨站脚本攻击(cross site scripting)缩写为CSS,但这会层叠样式表(cascading style sheets,CSS )的缩写混淆,因此,有人把跨站脚本攻击缩写为XSS。

  • 分类

反射型(非持久型):

攻击者事先做好攻击链接,需要欺骗用户自己去点击链接才能触发漏洞。

存储型(持久型):

payload被存储到数据库中,每次只要访问就可以被触发。

DOM型:

DOM型XSS漏洞是基于文档对象模型document object model的漏洞。

  • 形成

由于程序员在编写代码时,未对用户输入的数据进行处理,或者处理不当,从而导致恶意payload代码被执行。

  • 各种类型的区别

XSS类型 存储型 反射型 DOM型
触发过程

1.黑客构造XSS脚本

2.正常用户访问携带XSS脚本的页面

 正常用户访问携带XSS脚本的URL 正常用户访问携带XSS脚本的URL
数据存储 数据库 URL url
谁来输出 后端web应用程序 后端web应用程序 前端javascrip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47599604/article/details/114937275

智能推荐

快速稳定下载googledrive文件-程序员宅基地

快速稳定下载google drive文件第一步https://github.com/donwa/goindex进入网站首先进行google账号的认证,认证成功会生成脚本文件。第二步复制脚本文件,进入Cloudfare(没有账号先注册),选择workers,创建一个worker,将脚本文件复制进去,脚本代码左侧有一个地址,那个可以直接访问googledrive的目录,不用FQ。...

20145219《网络对抗》免杀原理与实践-程序员宅基地

20145219《网络对抗》免杀原理与实践基础问题回答杀软是如何检测出恶意代码的?1、基于特征码的检测:可执行文件包含特征码库中的某段数据就会被认为是恶意代码。2、启发式恶意软件检测:一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,就把它当成一个恶意软件。3、基于行为的恶意软件检测:启发式的一种,加入了行为监控。免杀是做什么?想尽一切办法不让杀软发现自己是个病毒,然后悄悄地...

JSON方式封装通讯接口(简单)-程序员宅基地

<?phpclass Response{ /* *按json方式输入通讯数据 *@param int $code 状态码 *@param string $message 提示信息 *@param array $data 数据 */ public status function json($code,$message='',$data=arra</div>

Ambari部署hadoop集群环境_amberi部署apache hadoop-程序员宅基地

一、Ambari介绍1.介绍: Ambari 跟 Hadoop 等开源软件一样,也是 Apache Software Foundation 中的一个项目,并且是顶级项目。Ambari提供了一个直观的,易用的Hadoop管理web界面。 Ambari 自身也是一个分布式架构的软件, 采用的是Server/Client的模式,主要组件:ambari-age..._amberi部署apache hadoop

[宝塔]配置ssl证书,提示错误:证书错误,请粘贴正确的PEM格式证书_宝塔证书 证书错误: <br><a style=\"color:red;\">ah00526: sy-程序员宅基地

错误如下(截图用的是参考文的图)不知道宝塔哪里抽风了,就是保存不了证书,只能通过证书夹的方式添加通过宝塔查找路径如下/www/server/panel/vhost/ssl/所有添加过证书的证书夹都会出现在这里,复制一份出来手动修改成我们需要引入的证书即可图例是腾讯云下载的证书,取nignx下的key和pem仓促记录,如有疑问可私信我参考https://code84.com/96.html更换服务器,宝塔配置ssl证书,提示错误:证书错误,请粘贴正确的PEM格式..._宝塔证书 证书错误: ah00526: syntax error on line

oracle rac ogg部署,请问:源端是rac环境时,部署ogg有什么需要注意的地方吗?-程序员宅基地

目标端的replicat 日志,好像也看不出什么来************************************************************************* Run Time Messages ***********************************...

随便推点

正常血压(信息学奥赛一本通-T1076)_1076正常血压c++一本通-程序员宅基地

来源这里#include<iostream>using namespace std;int main(){ int n,a[101][2]; int max=0,sum=0; int i; cin>>n;//测量n次 for(i=1; i<=n; i++) //每个小时的情况 { cin&g..._1076正常血压c++一本通

linux中python遇到PermissionError [Errno 13] Permission denied解决方法_zhangyu_zyyl的博客-程序员宅基地

linux中运行python遇到PermissionError [Errno 13] Permission denied解决方法问题:PermissionError: [Errno 13] Permission denied: './test_results/RAFT32-PIV_test_backstep/Rank_00Test_image_000.png'思路:python没有写权限,可能是对应文件夹不允许写入(只允许读),导致无法保存在对应文件夹下或无法创建文件输出解决方案:1、先赋予相

两种python实现自动发邮件的方法-程序员宅基地

法一from email.mime.text import MIMETextfrom email.header import Headerfrom email.mime.multipart import MIMEMultipartimport smtplibfrom template import DATETIMEclass Email(object): def __init__(self, file_path, file_name): self.subject =

dbms_stats.gather_table_stats和analyse的作用-程序员宅基地

自从Oracle8.1.5引入dbms_stats包,Experts们便推荐使用dbms_stats取代analyze。 理由如下dbms_stats可以并行分析dbms_stats有自动分析的功能(alter table monitor )analyze 分析统计信息的不准确some times1,2好理解,且第2点实际上在VLDB中是最吸

用递归把十进制数转换成二进制数-程序员宅基地

#include using namespace std;void d2b(int n){ if(n==0) { cout } else { d2b(n/2); cout }}int main(){ int a;

[uboot] (番外篇)uboot之fdt介绍_uboot set fdt-程序员宅基地

[uboot] (番外篇)uboot之fdt介绍http://blog.csdn.net/ooonebook/article/details/53206623以下例子都以project X项目tiny210(s5pv210平台,armv7架构)为例[uboot] uboot流程系列:[project X] tiny210(s5pv210)上电启动流程(BL0-BL2)[projec..._uboot set fdt

推荐文章

热门文章

相关标签