您现在的位置:圣剑网 >> 动画教程 >> 漏洞检测 >> 实战渗透测试第十四课:xss基础+后台逻辑注入
实战渗透测试第十四课:xss基础+后台逻辑注入
软件大小:40.8 MB
更新时间:2016-11-03 02:27
授权方式:共享版
人气访问:57次
运行环境:Windows All 32/64位
软件评级:
分享好友:
实战渗透测试第十四课:xss基础+后台逻辑注入介绍

讲师:上善若水

动画名称:渗透测试第十四课   xss基础+后台逻辑注入


测试环境:Windows7 系统


原有语句:select * from admin where username='' and password=''


构造以后的语句:select * from admin where username='' or 1=1 -- ' and password=''


xss跨站


什么是跨站呢?


跨站就是在用户与程序交互的地方,没有做过滤或者说过滤不严格,用户可以提交恶意的javascript代码或者html代码


主要攻击对象


客户端


学习跨站要了解哪些知识点


html


javascript


跨站有哪些危害


获取cookie ddos 钓鱼 网页挂马 挂黑链


学习跨站要了解的一些基本知识点


跨站类型:反射型、存储型


反射型:攻击者提交的代码不能存储到数据库或者程序中,并且要攻击者把构造好的跨站链接发送给别人才可以,


存储型:是可以把提交的代码插入到数据库或程序中,那么插入的代码就会一直存在,只要有用户浏览存在跨站的界面,就会被攻击 


反射型多存在于搜索框,和这个url参数中


存储型多存在于留言板,日志或者博客等可以发表文章的地方 


测试跨站首先要找到网页的输入与输出 

找到输入与输出以后测试几个常用特殊字符就可以了 


xss跨站测试特别依赖浏览器的

实战渗透测试第十四课:xss基础+后台逻辑注入下载地址
网友评论