力大砖飞-存储型Xss Fuzz手法

最新推荐文章于 2024-06-17 09:39:36 发布
最新推荐文章于 2024-06-17 09:39:36 发布
阅读量415 收藏 1
点赞数
分类专栏: 工具 文章标签: xss 乌鸦安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnmmd/article/details/122699513
版权

 微信公众号:乌鸦安全

 

扫取二维码获取更多信息!

01 前言

前段时间在看Xss检测自动化,调研发现网上现在也已经有了很多的非常优秀的xss检测工具,自己就按照最简单的逻辑也写了点,大概的效果是这样的:

 

这里注重的是实现思想,实际中的场景远比此复杂,后面有时间的话,我会在B站上分享下这个简单的教程

当时写了反射型和存储型的简单检测脚本,但是在反射中如果用工具来跑的话,xss会保存到数据库中,这样很不优雅。

02 力大砖飞

在早期的时候有师傅在先知上发了一个xss暴力的方法

链接:https://xz.aliyun.com/t/4985

总结一下就是:

直接在留言板或有存储的地方,将xss语句全部放进去,看看谁不正常

项目链接:https://github.com/TheKingOfDuck/easyXssPayload

核心文件截图:

效果演示:

大家可以自行前往下载,如果你网速不好,也可以在公众号乌鸦安全后台回复: 力大砖飞  下载。

03  后话

一直感觉安全圈的戾气很重,在上述师傅先知文章的评论里面就看到这样的评论。

不仅在这里,freebuf等网站上都看到很多人嘲笑撰稿者,可能有些师傅技术确实很好,看不上这些阿猫阿狗,但是大家都是一步步走过来的,大家也应该互相体谅下彼此

先做人,再做技术

 微信公众号:乌鸦安全

 

扫取二维码获取更多信息!

乌鸦安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS-Fuzz的艺术
prettyX的博客
12-08 1467
BugBank整理总结。 1、什么是Fuzz 一种基于黑盒的自动化软件模糊测试技术。 可向目标发送随机或精心构造的数据作为计算机输入,来触发非常规反馈以达到检测漏洞的目的。 一般的Fuzz工具自带完备的异常检测机制,发送数据后能精准查出哪些Payload导致了非常规反馈,在输出中将这些触发异常的Payload列出,大大降低了人工测试成本,渗透测试人员只需关注感兴趣的部分。 BruteXS...
xss fuzz
None安全团队
08-01 496
fuzz反射xss 如果是存储会造成太多垃圾数据不建议使用 输出的结果是可用payload 脚本主要是靠payload.txt文件的强大 需要自己收集 代码随便写的 大家也可以随意修改
强烈推荐:XSS Fuzzer—您的Web安全测试利器!
最新发布
gitblog_00025的博客
06-17 219
强烈推荐:XSS Fuzzer—您的Web安全测试利器! 项目地址:https://gitcode.com/NytroRST/XSSFuzzer 一、项目介绍 在网络安全的舞台上,跨站脚本攻击(Cross-Site Scripting,简称XSS)始终是一把双刃剑。一方面,它为黑客提供了入侵网站、窃取信息的渠道;另一方面,对于安全专家和开发者来说,则是检验与加固系统防护墙的重要手段。而今天,我将向...
XSS(跨站脚本攻击)原理详解(内含攻击实例)
qq_52642385的博客
07-05 6933
军锋真人cs野战123平台、xss平台(推荐自行搭建xss平台,不让别人白嫖咱自个的成果,蓝莲花战队的那个就挺好)、webshell箱子、postman、beef(kali上可能要自行下载,三行命令即可)、burpsuite、xsstrike【内含软件使用方法】原理:前端提交的一些参数转换为js代码,可以回显一些东西跨站:例如你将一段攻击代码通过留言存储到对方服务器上时,对方管理员在浏览时就可能会执行你所写的攻击语句。产生层面:前端函数类:一般应用js里面的一些输出类函数但是会受浏览器内核影响,一些浏览器会
重生之我是赏金猎人(七)-看我如何从FUZZXSS在SRC官网偷走你的个人信息
weixin_44948325的博客
03-26 266
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 前奏 前不久在挖掘某SRC时提交漏洞时,偶然在该SRC官网的编辑器发现了一个接口。 起初以为是任意文件包含能RCE了,后来测试发现只是拼接读取了远程资源站的图片,原本都想着放
6. xss_fuzz+wafbypass
HWHXY的博客
01-17 331
layout: post title: 6. xss_fuzz+wafbypass category: SRC tags: SRC keywords: SRC,XSS 前言 该篇记录为记录实际的src过程第6篇小文章,内容为某网站的xssbypass。 特征 输入点为callback,全网漫游找到的,waf很强。很多标签都无法使用,<script> frame body,style,只要出现了就直接触发waf.能够通过的有a标签和img标签,这里尝试用a标签bypass,发现对javasc.
GPT-4的缺陷和风险
04-03
有很多学者分析,GPT-4相比前代的GPT-3.5以及ChatGPT”涌现“出了更加成熟的智能,其内部原因可能是投入了更大的训练数据库和训练算力,真有一些力大砖的感觉。但是不可否认的是,GPT-4仍然面临着生成”幻觉“ ...
浮法玻璃熔窑高温硅线石池底大砖的制备方法与流程.docx
11-18
本文介绍的是一种针对大浮法玻璃熔窑的特殊耐火材料——高温硅线石池底大砖的制备方法。这种砖块的制作工艺旨在应对玻璃生产过程中对耐火材料的高要求,如更高的耐温性、更强的抗侵蚀能力和更好的支撑强度。 首先...
初级砌筑工培训教案-雷军.doc
10-03
- 包括普通烧结砖(实心砖、多孔砖、大砖)、硅酸盐类砖、砌块(大砌块、空心砌块等)、耐火砖等,介绍这些材料的物理性质和适用场景。 - 砌筑砂浆的种类和原材料,分析其对砌筑质量的影响。 - 还涉及了瓦、...
新人教数学一年级下册补墙问题PPT学习教案.pptx
10-03
首先,课程引入了一种特殊的排列模式:1、3、5行的砖块排列,每行由4块大砖和2块小砖组成,呈现出“小砖-大砖-大砖-大砖-小砖”的结构;而2、4、6行则全部由大砖构成。这种设计直观地展示了数字的组合形式,同时也为...
公共部分装修墙地砖粘贴施工技术交底大全.doc
09-20
- **镶贴墙砖**:采用1:1比例的水泥砂浆,添加108胶,确保边角满浆,阳角处理成45°斜角,阴角遵循大砖压小砖原则。 - **擦缝和清理**:2小时后清理缝隙,用素水泥浆灌缝,待干后用有色浆擦平,保持缝宽一致。 - ...
sql注入字典fuzz
01-11
sql注入字典fuzz
easyXssPayload.txt
07-19
这个比我另外一份XSS还要完整一点,具体没有对比过,但是数量要多一点,也有对应的弹框数字,可以快速定位是哪一个payloads生效。
XSS攻击方法总结
bylfsj的博客
09-12 3412
参考链接https://blog.csdn.net/qq_29277155/article/details/51320064 List item
payload的使 常用xss_八个无法利用XSS漏洞的场景
weixin_33327330的博客
01-01 272
☝☝点击上方蓝色字体即可关注噢~相信有很多的小盆友们曾经发现过一些疑似存在XSS漏洞的站点,但又无法完全证明这个漏洞是可以被利用的。此时的你可能处于怀疑状态,也有可能你已经验证到一半了,严重怀疑其有精神病(XSS漏洞)的情况。那么这个时候该怎么办呢?很多时候,手测没有任何进展,很多Hacker或许会用XSS fuzz,将准备好的XSS-Payload-lis...
XDT——基于Python的XSS自动化检测工具
热门推荐
古月林夕のblog
07-18 1万+
前言XDT(XSS Detection Tool)是一个基于Python的XSS自动化检测工具。这是本人本科毕业设计时实现的一个课题。关于Python 作为最受欢迎的程序设计语言之一,其语法简洁,代码执行快速(不需编译),具有丰富和强大的库,可以帮助处理各种工作,包括线程、数据库、文档生成、正则表达式、单元测试、网页浏览器、CGI、FTP、电子邮件等等。由于其简单快速且强大的特性,测试工具开发者
干货 | xss攻击、绕过_超级总结
qq_45300786的博客
06-26 1344
简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 常用的XSS攻击手段和目的 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步
xss fuzz小记
weixin_30820151的博客
01-20 141
XSS遇到这样一种姿势: <script> var a = "123\" alert(1);//"; </script> 这里没有转码的符号有\ / > < ; 可以输出换行符,你觉得能弹出1吗? 答案是不能。 正常的字符串换行连接,可以这样写: <script> var a = "123\ alert(1);//...
Python搬砖问题代码
06-15
一个经典的例子是计算台阶的不同上法,比如有若干层台阶,每层可以用一块大砖或者两块小砖来铺。 以下是一个简单的代码示例,用递归方法表示: ```python def count_ways(n, big_brick=1, small_brick=2): # 基线...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值