【XSS-2】盲打

最新推荐文章于 2023-08-30 11:19:09 发布
最新推荐文章于 2023-08-30 11:19:09 发布
阅读量111 收藏
点赞数
分类专栏: 小迪安全笔记 文章标签: xss java postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41889600/article/details/127970955
版权

在这里插入图片描述

cookie:存储本地,存活时间较长,中小型
session:会话,存储服务器,存活时间较短,大型
如果用session进行验证,xss是获取不了用户的session,因为session是存在服务器中的,而不是本地浏览器。
如果用cookie进行验证,xss可以获取用户的cookie,从而登录用户。

数据交互
在这里插入图片描述
xss条件:数据的数据进行显示

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
获取cookie

postman
在这里插入图片描述
地址
在这里插入图片描述
cookie
在这里插入图片描述

在这里插入图片描述

实现自定义发包

xss一般在这里

在这里插入图片描述

阿福超级胖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】实操XSS订单系统漏洞(利用盲打
你在看屏幕的同时,屏幕也在注视着你
09-07 4181
xss订单靶场实战
深入理解JVM-内存结构
matafeiyanll的博客
08-03 773
深入理解JVM-内存结构 [视频链接:
JAVA知识点总结
IDEA_guo的博客
10-16 280
包括JAVA基础、JAVA容器、JAVA并发、JAVA虚拟机,图依旧是拿大佬的
Tomcat停止报错:Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermSize=256m
bigdata_dog的博客
04-01 3606
Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermSize=256m; support was removed in 8.0
jvm启动参数
yyy30000的博客
05-18 374
1. 输出GC日志         -XX:+PrintGC (GC的简要信息)        -XX:+PrintGCDetails (GC的详细信息)        -XX:+PrintGCTimeStamps (GC的时间信息)        -XX:+PrintGCApplicationStoppedTime (GC造成的应用暂停的时间)        -Xloggc: gc.log (将...
JVM之内存模型
浪迹白杨的博客
09-21 230
1、 CPU和内存的交互 在计算机中,cpu和内存的交互最为频繁,相比内存,磁盘读写太慢,内存相当于高速的缓冲区。 但是随着cpu的发展,内存的读写速度也远远赶不上cpu。因此cpu厂商在每颗cpu上加上高速缓存,用于缓解这种情况。现在cpu和内存的交互大致如下。 在多核cpu中,每个处理器都有各自的高速缓存(L1,L2,L3),而主内存确只有一个 。虽然加入高速缓存解决了处理器和内存的矛盾(一快一慢),但是引来了新的问题 -缓存一致性 1.1、缓存一致性 如何保证多个处理器运算涉及到同一个.
xss 输出进行html编码,Pikachu:XSS-盲打、过滤、htmlspecialchars、href与js输出
weixin_31530761的博客
06-28 605
XSS盲打:前端数据交互的地方,输入信息,输入后的结果不在前端显示,也就是只有后台能看到输入的内容,从前端无法判断是否存在XSS,这种情况下,我们直接往里面插入XSS代码,然后等待。我们先进入盲打的页面:然后在上面的文本框植入script标签,你的大名的地方随便写就可以:alert('xss') / 123然后发现并没有弹窗,没有特别的事情发生:打开右上角的“点一下提示”,里面的内容提...
服务器搭建XSS盲打平台,绕坑
CC__Faker的博客
05-07 1500
文章目录环境介绍环境搭建平台搭建平台使用 环境介绍 本次搭建环境采用的是ubuntu20,php,apache2,无需数据库 XSS平台项目名称:BlueLotus_XSSReceiver 项目地址:https://github.com/trysec/BlueLotus_XSSReceiver 环境搭建 sudo apt update 更新源 sudo apt install apache2 安装apache sudo systemctl status apache2 查看apac
XSS盲打演示和讲解;XSS绕过思路讲解和案例演示;XSS绕过关于htmlspecialchars()函数;XSS常见防范措施
qq_44696653的博客
05-04 883
XSS盲打演示和讲解 当只有后台会看到前端输入的内容而前端无法判断是否存在XSS时,我们可以插入XSS代码。这个时候由于后端的安全考虑往往不会很严格,所以当管理员登陆的时候就会被X。 在pikachu上具体的实验演示; 1.在XSS盲打模块根据前端的提示输入相关信息,发现输入的信息只会反馈给后台,在前端无法显示。这里就可以不管别的直接输入跨站脚本的内容 例如:<script>alert...
xss盲打(通过xss盲打盗取管理员账号和密码!)
qq_43814486的博客
05-03 6657
原理: 其实和一般的xss原理是一样的,不同的地方在于xss盲打的结果你看不到,你不知道它是否存在xss漏洞,因为xss盲打的结果是显示在管理员后端的,但是这并不意味着不存在xss漏洞!只要payload被执行,就存在漏洞! 上面说了一大堆,现在来点东西!我要通过xss盲打这种漏洞盗取他们管理员的账号和密码!!!操作如下: 1,我输入的payload: <script>documen...
JVM参数设置以及查看堆内存的大小
回忆的证据
12-10 8583
1.在eclipse设置JVM参数 2. 在Tomcat服务器上设置JVM参数(在startup.bat里面配置)       set CATALINA_OPTS=-Xmx512m -Xms512m -Xmn64m -Xss2m  或者       set JAVA_OPTS=-Xmx512m -Xms512m -Xmn64m -Xss2m       设置CATALINA_OPTS 和 ...
warning: ignoring option PermSize=512m; support was removed in 8.0解决
qq_43070052的博客
05-16 3151
warning: ignoring option PermSize=512m; support was removed in 8.0解决 问题出现场景 使用jdk1.8的时候设置了vm参数:-Xmx2048m -XX:PermSize=512m -XX:MaxPermSize=768m -Xss2m 此时运行java程序时VM提示如下警告: Java HotSpot(TM) 64-Bit Server VM warning: ignoring option PermSize=512m; support wa
JVM的内存模型,(GC)垃圾处理,调优监控(基于HotSpot VM,JDK1.5+)【JAVA内存模型】
Java_may的博客
06-15 200
一,JVM内存模型概括 还有一个寄存器,线程运行于其上面 1.程序计数器 记录线程的执行位置,线程私有内存,唯一一个在Java虚拟机规范中没有规定任何OutOfMemoryError情况的区域 2.线程栈(VM stack) 栈的默认大小是1M -Xss2m 这样设置成2M 异常 :Fatal: Stack size too small 异常的引起一般是线程数目太多 3.本地方法栈(native stack) 即为一些Native方法分配的stack 异常:java.la..
VM warning: ignoring option PermSize=256m; support was removed in 8.0
qq_41340666的博客
03-15 5201
问题出现场景 使用jdk1.8的时候设置了vm参数:-Xmx2048m -XX:PermSize=512m -XX:MaxPermSize=768m -Xss2m 此时运行java程序时VM提示如下警告: Java HotSpot(TM) 64-Bit Server VM warning: ignoring option PermSize=512m; support was removed in 8.0 Java HotSpot(TM) 64-Bit Server VM warning: ignori
OutOfMemoryError内存溢出和StackOverFlowError栈溢出及解决方法
最新发布
Misszhoudandan的博客
08-30 274
线程的堆栈存储 线程局部原始数据类型、变量、对象的引用、返回值。如果线程堆栈大小超出分配的内存限制,就会出现栈溢出错误。内存溢出指堆上存储的东西大于分配的内存大小。堆上存放数组、对象等数据。64位电脑默认栈大小为 1024k=1m。可以修改为-Xss2m。我这里整体配置的是 1024m,可以修改-Xmx=2048m。这里用递归调演示错误。这里用数组演示错误。
深入理解JVM笔记-演示OOM异常和SOF异常
S-H_A-N
03-25 1064
1.堆中的OutOfMemory异常设置最大堆和Xmx最小堆Xms参数,通过不断的创建对象,当没有足够的空间创建新的对象时产生内存溢出异常-verbose:gc-Xms20M-Xmx20M-Xmn10M-XX:+PrintGCDetails -XX:SurvivorRatio=8Xms:最小堆Xmx:最大堆Xmn:新生代的大小PrintGCDetails:打印GC日志SurvivorRatio:E...
记:JVM参数 -Xss 导致的RedisAutoConfiguration StackOverflow问题
t0m的专栏
05-02 1164
以下两个问题都是由于-Xss参数设置过小导致,刚开始一脸懵逼。 异常1:RedissonAutoConfiguration (使用redisson锁时的自动配置类时出现的问题) 2020-05-02 12:19:08 [main] ERROR o.s.boot.web.embedded.tomcat.TomcatStarter - Error starting Tomcat context....
JVM是什么?
MarmotCoder
07-24 279
设置字体样式 &lt;!doctype html&gt; &lt;html&gt; &lt;head&gt;    &lt;style&gt;   div{   color: #000;   font-family: '微软雅黑','宋体';    font-weight: 900; /*这是没有单位的*/   font-style:...
JVM之虚拟机栈
Torry__的博客
03-20 2069
虚拟机栈的作用 虚拟机栈是线程JVM中线程私有的区域。 虚拟机栈是一个先进后出的队列,当一个线程开始执行一个方法,会为该方法创建一个栈帧,压入栈中,当该方法执行完毕,再将该栈帧出栈。每一个方法被调用直至执行完毕的过程, 就对应着一个栈帧在虚拟机栈中从入栈到出栈的过程。 public class TestStack { public static void main(String[] args) { m1(); } public static void m1() {
xss-labs安装
07-28
XSS-labs是一个用于学习和测试跨站脚本攻击(XSS)的平台。根据引用\[1\],在学习了XSS的基础知识并完成了一些简单的XSS测试后,可以开始攻略XSS-labs。不过需要注意的是,对于XSS-labs,我们只需大致了解一些思路即可,因为在实际的应用中,很少会有这种复杂的情况,但在CTF比赛中可能会更常见。 根据引用\[2\],XSS-labs的安装和下载可以通过相关的渗透测试平台或者从官方网站获取。安装完成后,可以开始进行XSS攻击的实践。 在XSS-labs中,可以通过构造特定的payload来触发XSS漏洞。根据引用\[2\]和\[3\]的示例,可以使用ng-include或者src参数来构造包含XSS漏洞的URL。例如,可以构造一个类似于以下的payload来触发XSS漏洞: src='level1.php?name=<a type="text" href="javascript:alert(1)">' 或者 127.0.0.1/xss-labs/level15.php?src='level1.php?name=<a href="javascript:alert(/xss/)">' 通过构造合适的payload,可以利用XSS-labs平台进行XSS攻击的实践和学习。请注意,在实际应用中,XSS攻击是违法行为,请遵守法律法规并仅在合法授权的情况下进行安全测试。 #### 引用[.reference_title] - *1* *2* [渗透学习-靶场篇-XSS-labs(持续更新中)](https://blog.csdn.net/qq_43696276/article/details/127024861)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [xss-labs搭建及通关攻略](https://blog.csdn.net/K_ShenH/article/details/122765092)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值