漫谈反射xss利用

本文详细探讨了反射XSS的常见性、寻找方法、利用策略以及多个实际案例,包括利用iframe进行隐蔽,以及如何针对不同浏览器版本编写针对性的exploit。作者通过实例展示了如何将反射XSS利用得更为巧妙,同时提到了钓鱼攻击的可能性和危害。
摘要由CSDN通过智能技术生成

在这里插入图片描述
晚上无聊,没打草稿,想到哪,写到哪,凑合看吧.
先打个作者:Y35U
1,反射xss大吗?
反射xss相比flashxss和存储xss要多多了.
so对于用户基数越大的网站,反射xss的威力就越大
因为多嘛,所以利用者会大增。
再者,存储的封的会快,而反射的封的相对不及时。
xss中,普遍认为存储的危害最大,那是要看你X谁了
如果你要x管理员,那肯定是存储的危害大
如果你要x更多的人(跟你同等身份的访问者),存储的xss可以写蠕虫,效果明显,反射也可以,效果次之。
如果你要x指定的人(跟你同等身份的访问者),两者效果一样

再读读这个
http://www.wooyun.org/bugs/wooyun-2010-011192

2,怎么找反射xss?
典型的工具,比如
http://www.3hack.com/tools/DOMinatorPro破解版.txt
http://www.3hack.com/paper/DOMinator使用实例-视频.txt
当然还有更多,比如BurpSuite的xsssacn插件,还有一些个人写的专业的工具.
所以反射xss叫只要神器在手,不怕xss没有了。
某牛说,不用工具,一天找tx的能找几十个.所以说,有技术真可怕。
3,如何把反射xss利用的“天衣无缝”?
反射跟存储的不同点在什么地方,我们要知道,只要能弥补掉反射的不完美

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值