XSS
猫星人不会笑
信息安全新手……移动APP安全菜鸟……" onload=prompt`1`"
展开
-
XSS利用方式
前言 学习XSS注入很久了,XSS主要的情况三分天下:反射型、存储型、DOM型;今天要研究的是XSS的利用,曾经有人问我XSS怎么利用的,我也只知道XSS在网页中嵌入代码,获取目标IP、Cookie,但是从来没有实践过,今天浏览FreeBuf时,发现一篇XSS利用文章,哈哈哈……于是乎,实践一下……准备 为了获取目标IP及ookie,实践开始之前,需要准备一个东西:VPS原创 2018-01-16 16:54:06 · 9024 阅读 · 0 评论 -
初级XSS跨站脚本总结
有点时间没有写东西了,最近加入了一个公司,主要是对网站进行渗透测试–找漏洞;刚刚开始做,所以都还还啦。目前经常遇见的主要是XSS和SQL注入,少部分的是信息泄露,图片上传没有二次编译,任意文件上传,CSRF等。但是在工作中发现自己对XSS脚本的一些语句不太熟练,这下可以总结整理一下了。 Script 标签 Script 标签可以用于定义一个行内的脚本或者从其他地方加载脚...原创 2018-04-01 13:34:31 · 786 阅读 · 0 评论 -
文本框中插入XSS脚本--「存储型」
文本框中插入XSS脚本–「存储型」 这几天在对一个站进行测试的时候,发现一个在文本框中插入xss脚本的新思路(可能不是新的……),经过验证可以成功插入并执行。所以想记录一下啦,觉得写得太渣的大佬勿喷。 1. 这是一个功能比较简单的公告发布编辑器 2. 先在可以输入的地方,直接插入xss脚本,看看他的执行情况。 3. 保存之后,在公告栏中可以发现标题已经成功...原创 2018-04-12 10:41:14 · 7771 阅读 · 0 评论