昨天还准备好好的思考把这个漏洞就原理给好好的在本地复现一下,再找找资料的时候,看到我认识的好多朋友都都有过简单的搭建复现例子,想着算求了,我也不本地复现搭建了,等玩XSS攻防测试的源码再贴吧。
XSS用我个人的理解就是该网页源码没有对输入输出进行过滤,导致用户输入的js代码被系统默认为网页源码并执行了,我先写个简单的反射XSS代码。
<script>alert('shiyan')</script>
这个<script></script>标签是js代码里的,就是javascript这个语言里的,alert()这个是输出的意思,把里面的字符串或者数字,输出出来。好了我个人的就写到这里吧,不杂详细,但是我对原理就是这么理解的,等搭建XSS平台这个,我再好好详细的写写,不能直接贴别人的了,毕竟我也对呢个不杂精通,知识知道大概的原理和构造,具体的编写代码,不是很会,毕竟我html和js我都是不咋会。。。
好了,下面贴一个在 freebuf 上的文章,讲解的XSS的原理和解剖的很是详细,等我自己闲的没事了,也方便我自己看,不要再翻翻找找。
print '先点击图片放大,然后再点击右键查看图片,在放大查看,这样就是最大化的查看,和浏览器屏幕一般大的。'
原贴地址: XSS的原理分析与解剖 - FreeBuf.COM | 关注黑客与极客
XSS漏洞原理就是这么简单,但是利用的起来,却不简单,可以说是高危漏洞,如果编写关于XSS的利用方法,可以说一本书都写不完, 比如说简单的钓鱼,截取cookie,等等。
好了,这个XSS原理备忘录就这样吧。