从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下HowToExploitXSS。
浅析XSS利用技术
XSS能干什么?
在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:
·篡改页面,修改页面内容
· *** 钓鱼
·盗取用户Cookie
·劫持用户(浏览器)会话
·挂广告,刷流量
·DDoS
·网页挂马
·获取客户端信息(例如UA,IP,开放端口)
·传播XSSWorm
……
这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。
Cookie是什么?
我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。
但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。
那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?
正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。
我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。
我们在Chrome浏览器上可以使用如下 *** 查看我们在网站上的Cookie:
1.访问“chrome://settings/”:
2.更底下有个"显示高级设置...",点一下:
3.有个“隐私设置”:
4.标题下面有个“内容设置”按钮,我们点一下:
5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:
中新社吉隆坡11月17日电 (记者 陈悦)亚太经济合作组织第三十一届部长级会议16日晚以视频方式举行。 会议主席、马来西亚国际贸易和工业部长阿兹明·阿里表示,促进贸易和投资将成为会议重要主题...
马齿苋其实就是一种我们常见的一种野菜,人们非常喜欢吃它,马齿苋的营养价值和药用价值都很高,但是有些人并不适合吃马齿苋。你知道马齿苋的功效与作用有哪些?马齿苋的食用方法有哪些?今天,就给大家讲一讲马齿苋...
四位航天总师上春晚,《向祖国报告》背后有哪些故事? 科技日报记者 付毅飞 牛年春晚,主持人将几位特殊的嘉宾请上了舞台。 在特别节目《向祖国报告》中,来自中国航天科技集团五院的4位...
古代成语中,经常有些字大家不懂意思,因为在古代很多东西的说法和现在不一样了,今天支付宝蚂蚁庄园的问题,就和古代鸟的说法有关。今天支付宝蚂蚁庄园2020年8月17日庄园小课堂的答案是什么呢?蚂蚁庄园庄园...
冬季宝宝断奶好像比其他季节看起来更容易生病,这也是因为冬季是疾病多发的季节,其实断奶最重要的是要掌握科学地方法,才能避免宝宝少生病,担心宝宝断奶后容易生病,可以采取一些措施,接下来友谊长存小编就来说说...
网站排名优化需要多久,优化周期多久能见效?每次在我接到咨询外包的时候都会有客户进行询问,网站交给你去做优化什么时候能见效,关键词到首页需要多久?首先声明一点搜索引擎的不是我家的,既然是在别人的平台下...