靶场科普 | XSS靶场绕过之关键字4

本文由“东塔网络安全学院”总结归纳

今天，给大家介绍一下“东塔攻防世界”其中的一个靶场：“XSS靶场绕过之关键字4”。

一、实验介绍

1.原理

  XSS又叫CSS，跨站脚本攻击，它是指攻击者利用网页开发时留下的漏洞,恶意攻击者往web页面插入恶意Script代码，当用户浏览该网页之时，嵌入其中的Web里面的script代码会被执行，从而达到恶意的特殊目的。

2.XSS危害

1）窃取管理员帐号或Cookie，入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力，包括读取、更改、添加、删除一些信息。

2）窃取用户的个人信息或者登录帐号，对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。

3）网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时，用户的计算机会被植入木马。

4）发送广告或者垃圾信息。攻击者可以利用XSS漏洞植入广告，或者发送垃圾信息，严重影响到用户的正常使用。

3.形成xss漏洞的原因

  程序对输入和输出的控制不够严格，导致嵌有恶意代码的脚本输入后，在输到前端时被浏览器当做有效代码解析执行从而产生危害。

4.XSS的基本绕过方式

1）弹窗关键字检测绕过

2）编码绕过

3）引入外部JS

4）OWASP备忘录

5）其他收集

二、实验目的

1.深入理解跨站脚本攻击概念；

2.熟悉XSS的基本绕过；

3.掌握对跨站脚本的防御方法。

三、实验步骤

1.打开实验地址，查看实验环境，根据实验要求进行相应的操作

2.在时间内完成xss绕过操作，并做好总结，思考其他绕过xss攻击的方式

四、防御方式

1.根据需求,自定义函数,对一些特殊字符进行转译

2.不信任任何用户的输入，对每个用户的输入都做严格检查，过滤，在输出的时候，对某些特殊字符进行转义，替换等。

速度登录https://labs.do-ta.com/ GET起来

现在注册，立得50积分哟 ✌

本文部分内容整合于他处，本文只提供参考并不构成任何投资及应用建议。（若存在内容、版权或其它问题，请联系我方处理）

东塔网络安全学院在各大平台均上线了各项活动和学习内容，快快登录以下各大平台学习起来吧~

微博、腾讯课堂、知乎、今日头条、学浪：

东塔网络安全学院

抖音1号：东塔网络安全培训

抖音2号：东塔网络安全教育

哔哩哔哩：东塔网络安全

了解更多活动和咨询欢迎微信添加：dongtakefu