XSS 本质

时间:2016-02-29 22:52:00 +0800

大家可能经常听到注入点之类的的名称

或者是XSS(跨站漏洞)

那么你谷歌去查询会给你很多不知所云的东西,可能很专业,但是看起来很费劲

那么我今天就用一段很简短利于理解的话进行总结:

xss其实就是控制浏览器的javascript,可以通过这个漏洞来插入你自己定义想要执行的javascript

然后大家要知道javascript能够做什么,那么javascript能做的事情,就是你这个漏洞能做的事情

javascript能做什么这个可以自己去谷歌,咱们这里作为基础篇,我们只举例几个最常见的

首先javascript可以获取浏览器cookie,那么cookie是干啥的?

cookie就是你登陆某个网站后的唯一凭证,简单来说,如果有了cookie,就能直接上你账号了,连用户名和密码都不需要了,简单粗暴,效果喜人。

然后我们举个栗子:

某网站有个xss的漏洞,你凑巧知道了,那么你提交一个beef的hook.js。让管理员或者用户访问这个网站时,他的cookie会直接发到你的平台里,替换一下cookie,你就和他权限一样了

这就是跨站最常用的功能,盗取登陆信息

盲打后台神马的都是从这个上面引申出来的。

×

Subscribe

The latest tutorials sent straight to your inbox.