1、简述xss漏洞原理和分类及依据
分为三种类型:
1-a.反射型 XS:S使用者输入(例如查询字串、表单栏位)经伺服器处理后,立即原样回写到回应中,攻击脚本随即被浏览器执行。攻击通常透过诱导受害者点击含恶意连结来触发。
1-b.存储型 XSS:恶意脚本被永久存入伺服器端资料(例如留言、使用者个人档案、讨论串、资料库),其他使用者在浏览这些内容时会自动执行该脚本。
1-c.DOM 型 XSS:漏洞在客户端(浏览器)JavaScript 处理资料时发生,恶意输入(通常来自 URL fragment、location、document.referrer、localStorage 等)被前端程式取用并插入 DOM,导致脚本执行。伺服器可能完全不改变回应。
2、安装BlueLotus和beef-xss平台对xss漏洞进行利用
[BlueLotus]:
3、复习文件上传漏洞之前端校验绕过服务器后端绕过技巧
[前端校验绕过]:
4、复习文件上传漏洞之服务端内容检查绕过和条件竞争漏洞
[内容检查绕过]:
5、安装Upload_Auto_Fuzz插件并熟练使用
