实战:盒子的self-xss(盒子已忽略)

最新推荐文章于 2024-04-10 14:00:00 发布
最新推荐文章于 2024-04-10 14:00:00 发布
阅读量1.2k 收藏
点赞数
分类专栏: 渗透测试 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anlalu233/article/details/107146762
版权

答应的多一个关注就写一篇原创:

盒子的self-xss是我在提交一个其他网站的xss时,编辑框输入了xss代码,没想到盒子弹窗了。我惊喜地想没想到盒子自己竟然有洞,然后我兴高采烈地提交了盒子,盒子很快回复了我说该漏洞已知晓,self-xss不存在危害性,故忽略。我一盆凉水浇下来。(小声说:盒子一看到自己平台的洞审核超快,第二天就审核回复我了,而我另一个同时间提交的xss漏洞还没审核emmmm)
图片

anlalu233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
挖洞经验 | self-xss的进化之路
weixin_40418457的博客
05-04 2559
本文涉及漏洞点: 1、self-xss 2、scheme 跳转 3、URL 跳转 4、CSRF 5、JSONP 挖掘过程分解: 一、挖掘背景介绍 在某次冲浪过程中,随手测试了一下这个系统的预览功能,点击预览会生成二维码,需要手机QQ扫描才能访问预览界面。 随手点击F12修改HTML源码,插入XSS代码 再次扫描二维码预览,触发XSS。 原本以为这就结束了,直到换了一个账户,扫描之后才发现进坑了,这是一个self-xss,无奈洞是自己挖的,无论如何也要利用起来。 二、self-xss的上位之路 1.首
CSRF+Self XSS
newlife1441的博客
08-16 589
CSRF,跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。。防御原理:由于服务端没有对客户端进行身份校验,所以我们可以通过添加令牌token、验证码等方法来防御csrf;CSRF 利用的是网站对用户浏览器的信任。Self XSS,自己输入xss脚本,输出仅自己看到,仅xss。............
self-XSS漏洞SRC挖掘
2301_80127209的博客
04-10 520
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
Uber三个鸡肋漏洞的妙用
swordheart的博客
04-26 200
0x00 简介 作者通过精心设计,将一个鸡肋的的self-XSS和两个鸡肋的csrf变成了一个高质量的漏洞。 原文:Uber Bug Bounty: Turning Self-XSS into Good-XSS – Jack 在Uber一个设置个人信息的页面上,我找到一个非常简单且经典的XSS漏洞。设置项中随便修改一个字段为<script>alert(document.domain);</script>就可以执行并弹框。 一共花了两分钟找到这个漏洞,但是我们要来点更有
Bug Bounty Tip - i春秋Self-XSS变废为宝的奇思妙想
最新发布
04-30
### Bug Bounty Tip - i春秋Self-XSS变废为宝的奇思妙想 #### 0x01 前言 在网络安全领域中,“自我跨站脚本攻击”(Self-XSS)通常被视为一个不起眼的安全问题。然而,在实际应用中,通过巧妙的设计和策略,Self-...
第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
**XSS跨站脚本攻击详解** XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在用户浏览器上注入恶意脚本。这些脚本可以劫持用户会话、盗取Cookie、操纵页面内容,甚至进行更复杂的攻击。...
第28天:WEB漏洞-XSS跨站之WAF绕过及安全修复1
08-03
WEB 漏洞-XSS 跨站之 WAF 绕过及安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
asp-xss-filter:ASP-XSS-过滤器
06-30
asp-xss-filterThis is classical ASP, not ASP.NET!!!!这是经典ASP,不是ASP.NET!!!!Transplanted from (由项目移植)Although it is written by JScript, but can also be used in VBScript.(虽然它是由...
xpt:XPT-XSS多色测试仪
01-31
XPT-XSS多色测试仪 XPT是XSS多语言测试平台,可在不到1分钟的时间内在30多个环境中测试XSS多语言。 该项目使用Google Chrome无头模式来测试XSS有效负载的执行情况。 在Debian上安装 # Install Google Chrome # ...
CSRF +self xss的运用【DVWA测试】
Miracle_ze的博客
08-17 356
当我我们发现传输中有一个CSRF的漏洞,传输没有带上token值。我们就可以两者利用,使用CSRF来构造一个form表单,在form表单中写上selfxss的地址【存储型xss,把地址存入数据库】。当他人点击CSRF给的链接的适合就会执行一次selfxss命令并且获取到cookie。短链接是可以隐藏网站真正目的,比如把修改密码网站改为短链接就看不出来了。selfxss,顾名思义,自己输入xss脚本,输出仅自己看到,仅xss到自己。因为登录的是自己的用户使用这个命令就将只获取自己的cookie值。...
某邮箱self-xss危害提升
weixin_40418457的博客
06-07 276
作者火线id:挖低位的清风 这是很早之前挖的漏洞了,拿出来分享一下思路吧。 # 挖掘过程 漏洞产生于,邮箱中的日历提醒处。 这里未做任何任何过滤,设置好提醒时间,到点邮箱中便收到了提醒邮件,同时触发了XSS 然后我就直接提交给了SRC平台,然后就被无情驳回了 :-( 。原因嘛,大家都懂,self-xss,同时在file域下,也没有跨域漏洞。所以被驳回是很正常的。 身为低危挖掘机不甘心啊,费了九牛二虎之力才挖到的漏洞,这么忽略了太心痛了,没办法,只有看能不能组合利用了。 继续查看功能点,发现在日历处存在一
组合拳出击-SelfXSS变废为宝
CHK的博客
09-03 1279
组合拳搭配 SelfXSS 已知SelfXSS漏洞是这样的: 相信看见图片基本上已经知道这个漏洞形成的原因了,该功能点有一个编辑预览的,输入XSS的payload就触发。 局限点在于这个漏洞Self型(Myself),也就是只能自己输入-&gt;自己触发漏洞。   变换思考 重新理一下这个漏洞触发的流程: 1.输入XSS payload: &lt;svg/onload...
XSS 漏洞总结
4ct10n
11-03 1万+
xss一直以来接触最少的类型,现在终于有幸将其总结一下了·····,xss漏洞是目前最为常见的漏洞类型之一,其触发脚本经常与js代码有关,所以要想掌握好xss必须要有深厚的js编码功底。本篇内容是我学习xss的总结,会结合着代码编写与实验,对xss进行系统的讲解,以便我更好的认识xss
xss妙用,快速测试xss漏洞
椰树ii
05-24 1万+
#介绍# 这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP,从他的xss备忘录:http://ha.ckers.org/xss.html 。目前这个网页已经重定向到我们这里,我们打算维护和完善它。OWASP的第一个防御备忘录项目:the XSS (Cross Site Scripting) Prevention Cheat Shee
XSS漏洞详解
热门推荐
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
演示XSS漏洞攻击 | 发帖如何提交javascript代码
Fanbin168的专栏
12-15 1619
首先创建一个项目(在.netFramework 2.0下面创建) 然后打开项目目录下的Default.aspx(默认名字,我自己没改名字了。为了演示而已)选择源代码 在源代码最上方的 再拖一个Button按钮,一个Label按钮,一个TextBox控件到Default.aspx页面  (Label用来显示TextBox文本框的内容) 双击Button按钮,
启动BeEF。在攻击机启动BeEF。命令如下: #beef-xss
06-11
BeEF是一款用于Web浏览器的渗透测试工具,它可以帮助安全测试人员测试Web应用程序的安全性,包括漏洞检测、渗透测试、攻击载荷等。启动BeEF需要在攻击机上运行beef-xss命令。您可以按照以下步骤启动BeEF: 1. 打开终端 2. 输入命令:beef-xss 3. 回车键运行命令 4. 等待BeEF启动完毕,此时终端会输出BeEF的Web界面URL地址 5. 打开浏览器,输入BeEF的Web界面URL地址,进入BeEF的管理界面 请注意,BeEF是一款强大的工具,使用时需要谨慎,切勿用于非法用途。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值