渗透测试中常用的JavaScript命令

最新推荐文章于 2024-04-14 11:14:53 发布
最新推荐文章于 2024-04-14 11:14:53 发布
阅读量304 收藏
点赞数
文章标签: javascript python 网络 ViewUI
原文链接:https://my.oschina.net/u/147181/blog/164793
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

BS结构越来越流行,浏览器被广泛使用,JavaScript命令在浏览器中执行,测试中有些常用的js命令:
1,最简单的alert(1),用于在浏览器中弹窗,1可以换成其他数据、字符串之类的。
2,  document.cookie,获取浏览器当前域的cookie,xss攻击中常用(关于xss攻击,见易踪网文章:http://www.yeetrack.com/?p=70)。可以试着在firefox、chrome的开发者工具,console下试着输入此命令。
3, document.open,在当前页面打开一个新的空白文档,命令:document.open("text/html","replace"),然后document.write("hello world");就可以在新页面中写入东西。
4, document.location.href,进入当前域的另一个页面,如:当前在www.yeetrack.com下,在浏览器中运行js命令document.location.href="/?cat=4",就可以被重定向到易踪网的子目录”网络安全“下。
5, window.open,用于在一个新的页面打开指定的链接,如在浏览器中运行window.open("http://www.yeetrack.com")就可以在一个新页面中打开易踪网。
6,记录键盘动作,document.οnkeypress=function(){window.status+=String.fromCharCode(window.event.keyCode);}该命令用于将用户在浏览器中的键盘动作保存在window.status中。在浏览器中运行该命令,随便在网页中输入写字符,然后运行命令:window.status,可以看到status中保存了刚才的键盘动作。如截图:

28005255_lkhJ.jpg

转载于:https://my.oschina.net/u/147181/blog/164793

weixin_33842328
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
18、JS渗透(三)
剑指苍天
02-28 982
js项目分析: ​ 1、为了查找参数 ​ 2、为了查找动态加载的隐藏内容 js加密:通过js加密给服务器的是限制机器人,通过js加密给客户端的是防盗保护。前者分析是把参数加密然后用机器人发送达到伪装的目的,后者通过解密客户端发来的js代码,获取资源来达到解密目的。实质是一个加密来伪装自己和一个破解密码的不同原理。 js动态加载:有些内容不是加密,但是需要javascript代码通过用户操作,通过二次的交互加载出来的,这种情况如果是在初始页面的基础上交互的话,网页源码是不会变化的,机器人爬取的时候就不会得
Android基础渗透测试
12-14
### Android基础渗透测试知识点 #### 概述 随着移动互联网技术的发展,Android系统因其开放性和易用性成为了全球范围内最受欢迎的移动操作系统之一。然而,这也让Android应用面临着各种各样的安全威胁。根据2017年...
2019-9-24:渗透测试JavaScript数据类型基础学习
aizhuwei6274的博客
09-24 117
JavaScript数据类型 值类型(基本类型):字符串(String)、数字(Number)、布尔(Boolean)、对空(Null)、未定义(Undefined)、Symbol。 引用数据类型:对象(Object)、数组(Array)、函数(Function)。 值类型 1, 字符串(string),字符串是存储字符,比如“china” 的变量,字符串可以是引号的任...
渗透测试过程JS调试,深入理解软件测试的核心知识点
最新发布
2401_84281581的博客
04-14 904
可以添加V获取:vip1024b (备注软件测试)**[外链图片转存…(img-xmTL7QiW-1713064482171)]
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 547
渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
渗透技巧之当爆破遇到JS加密
zkaqlaoniao的博客
10-22 924
目录 前言 Python JS库:execjs 安装execjs 安装JS环境依赖PhantomJS execjs的简单使用 Python脚本简单实现js加密 网上搬的js加密文件 简单加密python文件 简单优化脚本 完整加密脚本 测试脚本 使用脚本​ 存在的问题 加密所用时间过长 针对不同的JS加密方法 如果文章对你有帮助,欢迎关注、点赞、收藏一键三连支持以下哦! 想要一起交流学习的小伙伴可以+ hacker_899,群里会分享学习资料、和大佬一起探讨交流学习,
E017-渗透测试常用工具-使用Beef对客户端浏览器进行劫持.pdf
12-02
本文档介绍了一种常用渗透测试工具——Beef,以及如何利用它对客户端浏览器进行劫持。 Beef(Browser Exploitation Framework)是一个基于Web的渗透测试框架,专门设计用于安全研究人员和渗透测试人员控制和操纵...
metasploit常用渗透命令[文].pdf
10-11
Metasploit是一款强大的安全测试工具,广泛用于渗透测试和漏洞利用。...以上是Metasploit渗透测试的一些基本命令和概念,实际使用时需要根据具体情况灵活运用,并始终遵守合法的渗透测试准则,确保测试行为的合规性。
LC-CS-04渗透测试指导书.pdf
11-07
渗透测试指导书是软件测试的一个重要组件,旨在帮助开发人员和安全测试人员检测和修复Web应用程序的漏洞和弱点。本指导书提供了一系列的渗透测试步骤和方法,涵盖了信息收集、WEB应用识别、错误代码分析、robots...
网络渗透测试 XSS和SQL注入
12-02
网络渗透测试 XSS和SQL注入】的实验旨在深入理解网络安全的两种常见攻击手法,并学习如何防范。XSS(跨站脚本攻击)和SQL注入都是针对Web应用的安全威胁,主要利用了程序处理用户输入的疏忽。 XSS攻击是攻击者...
一次完整的渗透测试实验
热门推荐
江左盟的博客
05-10 1万+
渗透测试的一般思路 侦查 信息收集 漏洞扫描 漏洞利用 提升权限 保持连接 本次实验只用到信息收集,漏洞扫描及漏洞利用 攻击机:Kali2.0 64位(192.168.41.131) 目标机:Win7 64位(192.168.41.137) 本次实验用到的知识 Nmap: -A 详细扫描操作系统指纹识别和版本检测 -sS SYN扫描(半连接扫描) -sT...
web渗透之JavaScript基础
qq_40480474的博客
04-05 4349
  大家好啊!我是小菜鸟,一个想学渗透的小白。有志同道合的小伙伴就快加入我吧!欢迎大家指正错误的地方。记得三连鼓励哦!   JavaScript对于后面的xss跨站脚本很有用。等我慢慢更新吧! JavaScript:一门客户端脚本语言 JavaScript的组成: 1,ECMAScript:基本的语法和对象 2,BOM:浏览器模型,与浏览器进行交互 3,DOM:文档模型,与网页内容进行交互 JavaScript有三种写法: 1.内嵌式: <script>alert('我是小菜
解决渗透测试js文件泄露
huan1213858的博客
11-13 453
2、添加请求头Cache-Control解决首次访问浏览器直接访问硬盘缓存。1、思路:如果是直接url访问js文件,不会有Referer请求头。解决办法:使用过滤器过滤。
JavaScript基础02
qq_45174221的博客
04-16 234
对象由花括号分隔。在括号内部,对象的属性以名称和值对的形式 (name : value) 来定义。属性由逗号person有三个属性:firstname、lastname 以及 idJavaScript 变量均为对象。当您声明一个变量时,就创建了一个新的对象。
火狐浏览器mac_渗透测试使用浏览器的正确姿势
weixin_39966130的博客
11-14 680
渗透的时候使用得最多的就是浏览器和burp了,灵活使用浏览器可以使渗透的效率大大提高,这次就分享下我平时用浏览器的一些技巧。1. 浏览器的选择首选chrome浏览器,火狐浏览器为辅.mac的话还可以加个Safari来刷下动漫或用下google hack ~首选chrome的原因主要是以下三点,是火狐没法比的:更强大的账号同步能力只要能登录google账号,就能使用chrome强大的跨平...
如何学习渗透测试:初学者教程
公众号:乌云安全
08-25 1万+
免责声明:黑客攻击是一项难以学习的技能。只需做一些在线课程,你就不会成为一个好的笔友。只需安装Kali Linux并学习如何使用这些工具,你就不会成为一名优秀的测试者。这是一条充满挑战的道路,无尽的挫折感,你不会在一天 - 一个月 - 甚至一年内学会如何旅行。但是,如果你有决心,你会发现它是一个非常有益的领域,你可能永远不想离开。 在本教程,我将具体介绍 渗透测试的Web应用程序黑客攻击 方面。...
Web前端参数加密分析破解与测试
道阻且长,行则将至。
01-07 2794
前言 在渗透测试过程,许多系统会直接明文传输账户密码等敏感信息,存在被嗅探的风险。有的开发人员则会对相应的敏感信息在前端借助JS代码进行加密后再传输,使攻击者看到的是“一堆乱码”,从而无法正常进行篡改和其他渗透测试操作……如下图所示。 但是前端加密只能提高攻击者进行攻击的难度,并无法对敏感信息进行有效的保护。因为前端JS加密的代码是公开的(虽然可能会经过混淆和压缩),攻击者可以通过对加密函数的...
【工具-DVWA】DVWA渗透系列十一:XSS(Reflect)
qqchaozai的专栏
10-26 1914
前言 DVWA安装使用介绍,见:【工具-DVWA】DVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
关于从js下手的一些渗透经验
https://www.cnblogs.com/zpchcbd/
09-25 1533
如下说的并不是一定是的 还是根据实际情况来判断!!! 1、如何判断是JS开发的站 1、源代码简短 2、引入多个js文件 3、一般有/static/js/app.js 等顺序的js文件 4、cookie有connect.sid 如何查看重要js文件 1、寻找配置文件 2、查看app.xxx.js(一般引入的js文件都在static静态目录下 搜索的时候可以直接尝试static搜索下手) 查看j...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值