02xss入门与介绍课件v.pptx

XSS入门与介绍XSS入门与介绍 — 课程概要XSS的入门与介绍XSS的分类XSS盲打平台与蠕虫XSS入门与介绍XSS入门与介绍XSS入门与介绍什么是跨站脚本攻击？XSS漏洞的危害XSS跨站脚本实例XSS入门与介绍 什么是跨站攻击？XSS，全称跨站脚本(Cross Site Scripting)，一种注入式攻击方式。XSS入门与介绍 XSS成因对于用户输入没有严格控制而直接输出到页面对非预期输入的信任XSS入门与介绍 XSS的危害盗取各类用户账号，如机器登录账号、用户网银账号、各类管理员账号窃取数据非法转账挂马…XSS入门与介绍XSS实例XSS入门与介绍Payload(有效荷载)img src=0 onerror=alert(5)什么又是PoC？什么又是Exp？我是PayloadXSS入门与介绍XSS的分类XSS的分类 常规的XSS分类存储型(持久型)反射型(非持久型)DOM型XSS的分类 存储型如：留言板功能XSS的分类存储型XSSXSS的分类反射型/search.html?key_pro=scriptconfirm(1501)/script如：echo?$_GET[get];?=$_GET[get]?内容直接读取并且反射展示在页面上XSS的分类反射型XSS/mobile/index2.html?name=a href=点击抽奖/atype=sharefrom=timelineisappinstalled=1XSS的分类DOM型其实DOM型也属于反射型的一种，不过比较特殊，所以一般也当做一种单独类/en/features.html#img src=0 onerror=alert(0) 如：scriptvar?name?=?location.hash;document.write(name);/scriptXSS的分类DOM型XSSXSS的分类 其他XSS类别mXSS(突变型XSS)UXSS(通用型XSS)Flash XSSUTF-7 XSSMHTML XSSCSS XSSVBScript XSSXSS的分类mXSSXSS的分类CSS XSShtml body style body {width:expression(alert(1));: red;} /style /body/htmlXSS的分类MHTML XSSMHTML是MIME HTML (Multipurpose Internet Mail Extension HTML，聚合超文本标记语言)的缩写Content-Type:multipart/related;boundary=x--xContent-Location:xssContent-Transfer-Encoding:base64PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==--x--访问：mhtml:/a.html!xssXSS入门与介绍XSS盲打平台与蠕虫XSS盲打平台与蠕虫 XSS盲打平台XSS盲打是指攻击者对数据提交后展现的后台未知情况下的一种XSS攻击方式XSS盲打平台就是为这种方式提供基本平台功能XSS盲打平台的使用XSS盲打平台与蠕虫 XSS蠕虫Samy 蠕虫2005年10月14日，“Samy worm”成为第一大使用跨站脚本进行传播感染的蠕虫。一夜之间，蠕虫在世界最流行的社交网站 MyS 上，更改了超过一百万个人用户个人资料页面。XSS盲打平台与蠕虫 XSS蠕虫的原理利用XSS实现某些操作，比如微博关注用户实现某些操作的同时，触发蠕虫代码复制和传播推荐：《XSS蠕虫病毒--即将发生的威胁与最好的防御》XSS入门与介绍本课程我们主要进行XSS的相关演示和介绍，主要包含：XSS的介绍，包含分类的讲解XSS盲打平台使用介绍以及XSS蠕虫讲解和原理通过以上课程内容的讲解，希望大家对XSS能有个足够的认识和了解，只有对XSS的了解更深刻，才能更能学会XSS的漏洞挖掘。