今天开始学习XSS。
- 1.XSS:通过“HTML注入”篡改网页,插入恶意脚本,从而控制用户浏览器。根据效果分为:1.反射XSS(非持久):把用户(往往是黑客)输入反射给浏览器 2.存储型xss(持久):把用户输入的数据储存在服务器,等待其他用户(往往不知情)访问 3.DOM XSS(可以划分在1):修改DOM(标签等)形成XSS。
- 2.XSS playload:低级cookike劫持,但是很容易防御,比如与客户端IP绑定。高级的有:get与post请求:得到想要的ID,钓鱼,识别浏览器:alter(navigator.userAgent)等,识别用户安装的软件:每个软件相对的ACTIVEX控件都有唯一ID、或者通过识别图标来确定,通过JAVAapplet接口获取本地IP。
今天的歌曲是Legends Never Die。有谁想到SSG3:0SKT呢?
睡了。AM 4:00。