简单的XSS手动测试

最新推荐文章于 2023-09-28 09:34:26 发布

weixin_33850890

最新推荐文章于 2023-09-28 09:34:26 发布

阅读量268

点赞数

文章标签：数据库爬虫

原文链接：http://www.cnblogs.com/testwang/p/7570741.html

版权

好吧，我也是初学者，写这个随笔，主要也是为了记录，自学到的点。

简单的案例，见http://www.cnblogs.com/trhimily/p/3898915.html

总结一下主要的点：

1. url上参数使用脚本（get）；

2. post参数使用脚本（post）：

这里要注意，不是传参就可以，还需要

1）传参数

2）数据库存储

3）显示：调用这些参数的显示。你会发现，前面可能没发现问题（其实是有问题的，只是要看数据库表），到了调用的时候出现劫持

3. 纯粹url参数使用脚本：

这里要说个点，就是主要劫持url跳转到其他界面（而非一定是当前界面显示或被爬虫等）。

转载于:https://www.cnblogs.com/testwang/p/7570741.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33850890

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

手动挖掘xss漏洞

qq_57307348的博客

02-17

1760

得到

渗透测试-pdf文件上传-XSS

cdyunaq的博客

01-06

1万+

前言 pdf是portable document format的缩写，是目前广泛应用于各种场合的文件格式，其是由Adobe公司根据Postscript语言修改后提出的文件标准，并且被ISO组织接受，目前已经发展到2.0版本（ISO32000-2）。目前广泛使用的是1.7版本，该版本pdf功能已经相当丰富，可以显示3D模型，播放多媒体音视频，执行Javascript脚本等功能。 PDF中的JavaScript利用 Pdf文件是应用广泛的一种文件格式，很多针对Adobe阅读器的CVE漏洞都是通过pdf

参与评论您还未登录，请先登录后发表或查看评论

XSS 常用的手动测试方法

为了低调的博客

09-06

199

前面先进行闭标签，并在体中使用onload函数他是在加载白名单对象的时候，进行调用alert方法弹出cookie信息，最前面加#避免数据后面的payload传到服务器，就是为了让他的数据能够在浏览器页面进行显示。事件型参数绕过，这个的意思就是为了闭合,标签，并插入一个没有的图片，使它出错然后执行alert弹窗命令。双写/大小写绕过(大写的话就改成大写的)

XSS手工测试阶段式小结

L1m93的博客

03-29

1983

XSS攻击方式千变万化，越是学习这一块的知识就越感到自己对这一方面知识的匮乏。也如海绵一般，我也渴望汲取更多新的知识。文章仅仅是作为一个阶段式的小结。反射型XSS 在用户单击时触发，只执行一次。存在：搜索框，用户登陆口攻击成本比存储型XSS高。经过后端，不经过数据库。数据流向：浏览器》后端》浏览器存储型XSS 比反射型XSS威胁性高。存在：留言，评论，博...

【渗透测试】XSS手工挖掘到防御

ssrf

08-05

733

一、概述 XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容危害：盗取管理员cookie XSS蠕虫挂马（水坑攻击）键盘记录等等。。。。。。二、XSS分类 1

XSS漏洞手工检测

zzkkoo8的博客

12-15

6760

xss漏洞手工检测xss漏洞手工检测 1基本检测 2绕过技巧 2017年12月14日 17:44:57 1、基本检测'"<>&空格 \\看有没有逃逸常用语句 "/><script>alert(document.cookie)</script><!-- <script>alert(document.cookie)</script><!-- "onclick="alert(document.coo

如何测试XSS漏洞

07-06

1399

如何测试XSS漏洞 2009年3月11日由铁花留言 » 黑盒手动测试有输入框的页面测试对于非富文本在输入框中输入特殊字符 <”tiehua ‘> 提交在提交后的页面查看源代码根据关键字tiehua查找源代码中的tiehua前后的<”>’是否已经被转义成 &lt&quot&gt&apos 如果未被转义说明这...

Burp Suite XSS测试实战：深入挖掘Web应用的安全漏洞

最新发布

08-18

通过手动和自动化的XSS测试，可以确保Web应用的安全性。通过本文的介绍和示例，你应该能够了解如何使用Burp Suite进行XSS测试。记住，安全是一个持续的过程，需要不断地学习、适应和改进。随着Web技术的不断发展，...

web安全——手动测试

11-25

安全测试常用工具扫描进行，本次讲解内容是针对手动安全测试，包括常见关注点，三大漏洞：sql注入，xss攻击，文件上传漏洞等内容，可以方便测试人员在平时测试时就能手动测试安全问题

如何测试XSS漏洞借鉴.pdf

12-29

**黑盒手动测试** 1. **有输入框的页面测试**： - 对于非富文本输入框，测试人员应尝试输入特殊字符，例如 `<" tiehua '>`。如果在提交后查看源代码发现这些字符未经转义（如转换为`, `"`, `'>`），可能存在...

xss妙用，快速测试xss漏洞。

椰树ii

05-24

1万+

#介绍# 这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP，从他的xss备忘录:http://ha.ckers.org/xss.html 。目前这个网页已经重定向到我们这里，我们打算维护和完善它。OWASP的第一个防御备忘录项目：the XSS (Cross Site Scripting) Prevention Cheat Shee

跨站脚本攻击之xss手动版

weixin_47726676的博客

05-12

707

定义 Cross-site scripting (XSS):跨站脚本是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。类型存储型（持久型）跨站脚本可注入服务器的文件系统或数据库–引诱用户访问相关链接（貌似被用户信任的网站）–被攻击用户访问相关页面（采用特定URL参数）时，恶意代码下载到浏览器并执行。反射型（非持久型）跨站脚本包含在向网站提交内容的相关字段中–该字段将被服务器在返回页面中包含，相关字段中的跨站脚本将在浏览器端执行。–被攻击用户访

XSS测试用例

q908544703的博客

05-28

2085

下载原件地址：链接：https://pan.baidu.com/s/1HQu4daTdxfgTDWAyXUD5lA 提取码：5mw1 在这里插入图片描述

xss测试步骤总结

wutiangui的博客

09-28

1968

先看bp,再看回显，测试常规xss语句，接着看F12上下文，然后是构造闭合，最后是依次测试绕过方法，成功的时候要能得到一个可以复现的url。

Web安全：XSS漏洞的测试（防止黑客利用此漏洞.）