xss测试平台是测试xss漏洞获取cookie并接收web页面的平台,xss可以做js能做的所有事情,包括但不限于窃取cookie,后台增删文章,钓鱼,利用xss漏洞进行传播,修改的网页代码,网站重定向,获取用户信息(如浏览器信息,ip地址)等,这里使用的是基于xsser。me的源码,可以在网站https://www.ms08067.com/tool.html下载
XSS将精心设计的代码(js)注入到网页中,并由浏览器解释运行这段就是js代码,以达到恶意攻击的效果,攻击对象是浏览器和用户,漏洞是服务器
xss危害:
盗取各种用户账号
盗取用户cookie资料,冒充用户身份进入网站
劫持用户会话(浏览器劫持),执行任意操作
刷流量,执行广告弹窗
传播蠕虫病毒
查看端口的占用:
servers msc打开任务进程关闭占用
xss漏洞的验证:
用一段简单的代码,验证检测漏洞的存在,这样的代码叫做poc
POC 漏洞的验证与检测
EXP 漏洞的完整利用综合性工具
shellcode 利用漏洞值所执行的代码
payload(攻击载荷):在sqlmap里---攻击代码的模板
在msf里---shellcode类似,功能是建立与目标的连接
常用poc(概念验证)如下:
<script>alert(/xss/)</script>#弹窗 较常用
<script>confirm('xss')</script>#确认框
<script>prompt('xss')</script>#输入框