请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 1502|回复: 11

[XSS问题] 存储型xss如何去判断?

[复制链接]
  • TA的每日心情
    开心
    2016-9-4 23:01
  • 签到天数: 35 天

    [LV.5]常住居民I

    发表于 2015-9-3 10:04:49 | 显示全部楼层 |阅读模式
    5下载币
    QQ图片20150903095218.png 如图 貌似官网完全没有过滤,让xss代码完整的保存了下来,个人主页这个地方可以自定义后缀 那么我就放了一个xss代码,保存之后通过自己的个人空间点击,直接跳到了官网,请问这个是否执行了?

    最佳答案

    查看完整内容

    首先我很奇怪,你看的什么pdf。其次存储型XSS,持久化,这个不必多说,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-7-14 17:48
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-9-3 10:04:50 | 显示全部楼层
    爱听民谣的老王 发表于 2015-9-3 10:11
    @95zz @拿破轮胎  不好意思@大神。  之前看了xss相关的pdf,但是对于xss漏洞,对于存储型怎么判断的呢? 代 ...

    首先我很奇怪,你看的什么pdf。其次存储型XSS,持久化,这个不必多说,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2016-9-4 23:01
  • 签到天数: 35 天

    [LV.5]常住居民I

     楼主| 发表于 2015-9-3 10:11:00 | 显示全部楼层
    @95zz @拿破轮胎  不好意思@大神。  之前看了xss相关的pdf,但是对于xss漏洞,对于存储型怎么判断的呢? 代码审计?还是通过弹窗?
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-7-14 17:48
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-9-3 15:33:00 | 显示全部楼层
    说明朗一点,反射最典型的例子就是给个链接让你点,存储最典型的例子就是留言板。
    回复

    使用道具 举报

  • TA的每日心情

    2016-8-12 10:41
  • 签到天数: 108 天

    [LV.6]常住居民II

    发表于 2015-9-4 20:05:13 | 显示全部楼层
    xss存储型的有的搞,反射型的不好搞
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2015-11-26 12:26
  • 签到天数: 43 天

    [LV.5]常住居民I

    发表于 2015-9-6 19:09:14 | 显示全部楼层
    你为什么不先弹个窗看看?
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2016-9-4 23:01
  • 签到天数: 35 天

    [LV.5]常住居民I

     楼主| 发表于 2015-9-14 20:33:49 | 显示全部楼层
    拿破轮胎 发表于 2015-9-6 19:09
    你为什么不先弹个窗看看?

    是被过滤了。。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2016-8-5 10:19
  • 签到天数: 22 天

    [LV.4]偶尔看看III

    发表于 2015-9-20 20:41:40 | 显示全部楼层
    本帖最后由 Snake 于 2015-9-20 20:43 编辑

    很简单存储型反射型就好比一个铅球一个是足球

    铅球用力砸地上是不是砸了一个坑?这个坑是不是一直在那儿

    足球砸地上是不是就反弹回来了

    那么问题来了。

    如何攻击?
                   如果是铅球的话,是不是有两种方法
                                     1,直接拿铅球丢人家!(也就说,把带XSS的恶意网址发过去
                                                                        2,用铅球砸个坑,等用户来跳(比方说,你在留言板留了一个XSS,那么所有看见留言板的用户就都掉坑里(中招)了)

                  如果是足球的话,是不是只能直接拿球丢人家?(
    (也就说,把带XSS参数的恶意网址发过去


    最后一个问题,存储跟反射哪个危害严重?那我问你个问题,足球跟铅球打你,哪个比较痛?


                           

    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-7-14 17:48
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-9-20 21:42:21 | 显示全部楼层
    Snake 发表于 2015-9-20 20:41
    很简单存储型跟反射型就好比一个铅球一个是足球

    铅球用力砸地上是不是砸了一个坑?这个坑是不是一直在那 ...

    非常形象的描述啊!屌屌
    回复

    使用道具 举报

  • TA的每日心情

    2016-12-21 15:47
  • 签到天数: 60 天

    [LV.6]常住居民II

    发表于 2015-9-20 22:41:53 | 显示全部楼层
    存储性的   打开www.baidu.com/  如果我在里面插入xss代码  那么你访问的时候就会弹窗  

    放射性的    打开www.baidu.com/<script>alert('sb')<script>  那么你访问的时候就会弹窗  
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-1-21 06:02 , Processed in 0.205943 second(s), 34 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表