9.XSS基本原理

一.后端php代码

 

 二.地址栏输入

http://192.168.19.130:8443/security/xss1.php
?content=<script>alert(1)</script>

<button onclick="alert('你被攻击了')">快来点我</button>

 

三.XSS的危害

1.网页挂马，利用浏览器挖矿

2.盗取用户Cookie并扮演用户角色

3.DoS（拒绝服务）客户端浏览器

4.钓鱼攻击，高级的钓鱼技巧

5.删除目标文章丶恶意篡改数据丶嫁祸

6.劫持用户Web行为，甚至进一步渗透内网

7.爆发Web2.0蠕虫

8.蠕虫式的DDoS攻击

9.蠕虫式挂马攻击，刷广告，刷流量，破坏网上数据

 

四.XSS攻击

基于XSS配置钓鱼网站，构造一个与淘宝页面一模一样的网页，用户一旦输入用户和密码，

将直接发送到攻击者的后台服务器

 

五.修改后-后台源码

 

XSS注入，拼接+闭合

?content=hello" onclick="alert(1)

你输入的内容是：
<input type="text" id="content" value="hello" onclick="alert(1)"/>

?conclick = alert('Attack')/> <!--

你输入的内容是：
<input type="text" value="hello" onclick="alert('Attack')" />
<!--" id="content"/>