Web安全学习知识库
1.0
Contents:
1. 基础知识
2. 信息收集
3. 内网渗透
4. 常见漏洞
4.1. SQL注入
4.2. XSS
4.2.1. 分类
4.2.2. 同源策略
4.2.3. CSP
4.2.4. XSS数据源
4.2.5. Sink
4.2.6. XSS保护
4.2.7. WAF Bypass
4.2.8. 技巧
4.2.9. Payload
4.2.10. 持久化
4.2.11. 参考链接
4.3. CSRF
4.4. SSRF
4.5. 命令注入
4.6. 文件读取
4.7. 文件上传
4.8. 文件包含
4.9. XXE
4.10. 模版注入
4.11. Xpath注入
4.12. 逻辑漏洞 / 业务漏洞
4.13. 配置安全
4.14. 中间件
4.15. Web Cache欺骗攻击
5. 语言与框架
6. 防御技术
7. 工具与资源
8. 其他
Web安全学习知识库
Docs
»
4. 常见漏洞
»
4.2. XSS
View page source
4.2. XSS
¶
Contents:
4.2.1. 分类
4.2.1.1. 反射型XSS
4.2.1.2. 储存型XSS
4.2.1.3. DOM XSS
4.2.1.4. Blind XSS
4.2.2. 同源策略
4.2.2.1. 简介
4.2.2.2. 源的更改
4.2.2.3. 跨源访问
4.2.2.4. CORS
4.2.2.5. 阻止跨源访问
4.2.3. CSP
4.2.3.1. CSP是什么?
4.2.3.2. 配置
4.2.3.3. Bypass
4.2.4. XSS数据源
4.2.4.1. URL
4.2.4.2. Navigation
4.2.4.3. Communication
4.2.4.4. Storage
4.2.5. Sink
4.2.5.1. 执行Js
4.2.5.2. 加载URL
4.2.5.3. 执行HTML
4.2.6. XSS保护
4.2.6.1. HTML过滤
4.2.6.2. X-Frame
4.2.6.3. XSS保护头
4.2.7. WAF Bypass
4.2.8. 技巧
4.2.8.1. CSS 注入
4.2.8.2. Bypass Via Script Gadgets
4.2.8.3. jsfuck cheat sheet
4.2.8.4. RPO(Relative Path Overwrite)
4.2.9. Payload
4.2.9.1. 常用
4.2.9.2. 大小写绕过
4.2.9.3. 各种alert
4.2.9.4. 伪协议
4.2.9.5. Chrome XSS auditor bypass
4.2.9.6. 长度限制
4.2.9.7. jquery sourceMappingURL
4.2.9.8. 图片名
4.2.9.9. 过期的payload
4.2.9.10. css
4.2.9.11. markdown
4.2.9.12. iframe
4.2.9.13. form
4.2.9.14. meta
4.2.10. 持久化
4.2.10.1. 基于存储
4.2.10.2. Service Worker
4.2.10.3. AppCache
4.2.11. 参考链接
4.2.11.1. wiki
4.2.11.2. Challenges
4.2.11.3. CSS
4.2.11.4. 同源策略
4.2.11.5. bypass
4.2.11.6. 持久化