读芯术平台XSS

最新推荐文章于 2024-07-19 12:58:53 发布
最新推荐文章于 2024-07-19 12:58:53 发布
阅读量155 收藏
点赞数
分类专栏: 网络安全 文章标签: javascript 小程序 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42578412/article/details/104473060
版权

闲的没事干去读芯术的微信公众号学习AI,发现评论区没有任何的过滤,而且电脑端右键可以查看源码

在这里插入图片描述

但是评论区的内容并没有执行的迹象,所以能否成功还不确定。

一开始使用最普通的 alert

<video src=test.mp4 onerror=alert(‘1’);>//视频
<audio src=test.mp3 onerror=alert(‘1’);>//音乐

发现不行,但是出现了图片的样式

在这里插入图片描述这就说明了可以利用!!

从前端随便摘抄了一段现有的弹窗代码

	<div class="chuangti">
		<div class="top"><span>自动化73班的果果帅不帅</span></div>
		<dl class="neirong">
			<dt>
				<a class="quxiao anniu_lan" href="JavaScript:;" onclick="xptc_guanbi();">很帅</a>
				<a class="quxiao anniu_lan" href="JavaScript:;" onclick="xptc_ok();">最帅</a>
			</dt>
			
		</dl>
	</div>

执行成功

手机上的效果在这里插入图片描述
在这里插入图片描述
可惜的是本来可以更多的利用的,但是由于之前没有做过微信小程序的相关漏洞,也没做过微信小程序的抓包工作,没有做后续的信息收集和更深层的渗透,就暂且弄一个弹窗罢。考研要紧,考研要紧。

结尾

存储型xss漏洞很危险,每次点击和浏览网页的人都要承担该漏洞的风险,传播起来十分恐怖,但是平台的联系方式始终联系不上。

最后给老师汇报了,行善积德。
在这里插入图片描述

郭果果果果
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初学者都在坑里!不要在Python中使用“+”来连接字符串
Python学习Q群696455390
06-04 217
很多初学者都像我一样,最开始使用Python时,会不自觉地使用“+”来连接字符串,就像在许多其他编程语言(比如Java)中那样,因为这样既直观又容易。 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。 很多已经做案例的人,却不知道如何去学习更加高深的知识。 那么针对这三类人,我给大家提供一个好的学习平台,免费领取视频教程,电子书籍,以及课程的源代码! QQ群:1097524789 但我很快意识到成熟的开发人员似乎更喜欢使用.join()来连
简单生活第一步:数据科学家该了解的4个Python自动库
读芯术的博客
10-13 201
全文共4739字,预计学习时长12分钟图源:unsplash机器学习(AutoML)是一个新兴领域,其中用来建模数据的机器学习模型是一个自动化的过程,AutoML的功能使建模更为轻松。...
微信公众号读芯术中的python_不能错过!跟踪数据的Python技巧
weixin_39623805的博客
12-06 71
了解如何运用Python的某些数据对象,有利于保持井然有序的状态,避免在处理数据科学项目中的大量数据时出错。在数据科学项目中,有时想跟踪数据信息,或者希望灵活、快速、轻松地更新数据的全新输入。为此,小芯整理这篇文章。在本文中,你将学会:在执行loop命令时,跟踪索引更新全新的dictionaryitems函使用可重用对象记录新信息我们将从这些问题入手,详细介绍如何使用Python工具解决问题。希望...
pandas groupby count_Pandas闪回咒!如何在Python中重写SQL查询?
weixin_39625747的博客
11-27 165
全文共1459字,预计学习时长4分钟图源:unsplash工作中,频繁切换是件麻烦事儿。一些程序员只熟悉SQL中的数据操作,却不熟悉Python中的数据操作,因此在完成项目时,我们不得不频繁地在SQL和Python之间进行切换,导致了工作效率低下和生产能力下降。本文就教你一种方法,使用Pandas在Python中轻松重现SQL结果。入门指南如果电脑中没有pandas包,则需要先安装一下:Conda...
推荐8个前沿技术领域公众号
Python中文社区
03-07 4585
PyCityID:PyCityChina▲长按图片识别二维码关注PyCity,Python开发者同城俱乐部。是以Python中文社区为基础成立的一个同城Python开发者...
xss平台源码
09-28
**XSS平台源码详解** XSS(Cross Site Scripting)平台是一种用于安全研究和教育的工具,它允许用户模拟和测试XSS攻击。XSS攻击是网络安全领域中常见的漏洞类型,通过注入恶意脚本到网页中,攻击者能够窃取用户数据...
XSS测试平台.zip
08-06
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台
xss游戏平台源码
12-12
XSS游戏平台源码是一种基于Web技术开发的在线游戏平台的源代码,它涉及到Web开发中的多种技术,如HTML、CSS、JavaScript、PHP等。在深入探讨这些知识点之前,我们首先要理解什么是XSS(Cross-site scripting)攻击。...
xss 平台 源码资源打包
06-26
【标题】"XSS平台源码资源打包"指的是一个专门用于研究和学习XSS(跨站脚本攻击)的开源平台。这个平台提供了完整的源代码,使得开发者和安全研究人员能够深入理解XSS攻击的原理,以及如何防范和检测这类安全威胁。 ...
listmanager homepage
popkiler的专栏
09-04 548
 http://www.synaptive.com/jp/software/lm/
Python 之 ImportError: No module named ***
稚枭天卓
08-06 8251
如果想使用非当前模块中的代码,需要使用Import,这个大家都知道。  如果你要使用的模块(py文件)和当前模块在同一目录,只要import相应的文件名就好,比如在a.py中使用b.py:  import b  但是如果要import一个不同目录的文件(例如b.py)该怎么做呢?  首先需要使用sys.path.append方法将b.py所在目录加入到搜素目录中。然后进
名师出高徒!请关注领英上这十位活跃的大神
读芯术的博客
08-05 595
全文共3360字,预计学习时长7分钟俗话说,名师出高徒。如果你身处数据科学领域,强烈建议你关注以下10位领英上的行业巨头,并且希望你能够成为数据科学社区的一分子,向精英学...
强烈推荐几个 Java 大牛的公众号
Java极客技术
10-15 8082
技术之路就是漫长的打怪升级,不断学习前人的踩坑经验才能提升自己,切忌闭门造车。所谓独乐乐不如众乐乐,今天小编就把自己经常学习且置顶的几个公众号拿出来分享给大家,希望小伙伴...
读芯术”精华文章汇总:学术报告
读芯术的博客
09-14 726
AI未来说*青年学术论坛第一期 数据挖掘专场1.抢票,只剩两天 | AI未来说学术论坛 数据挖掘专场2.“AI未来说·青年学术论坛”正式启动,第一期论坛圆满落幕3....
博客前端项目学习day03——框架页
最新发布
qq_53237241的博客
07-19 195
【代码】博客前端项目学习day03——框架页。
自定义 Hooks 在 Vue3 中的应用和重要性
CodeQi技术小栈的博客
07-16 989
自定义Hooks是Vue3提供的一种将可复用逻辑提取到独立函数中的方式。这不仅可以减少代码的重复,还能让你的代码更加清晰易读,维护起来也更加方便。在这篇文章中,我将通过详细的步骤和实例,带你深入了解如何在Vue3中使用自定义Hooks,以及它们在实际项目中的应用和重要性。首先,我们来看一下如何创建一个简单的自定义Hook。在Vue3中,自定义Hook本质上就是一个返回特定功能的函数。让我们从一个简单的计数器例子开始。
vue快速上手——创建vue项目,vue基本使用方式,路由vue-Router,转态管理vuex
weixin_73582152的博客
07-15 783
Node.js 是一个开源、跨平台JavaScript 运行时环境,它允许开发者在服务器端运行 JavaScript 代码。Node.js 是基于 Chrome V8 引擎构建的,它的设计目标是提供一种高效、轻量级的方式来构建可扩展的网络应用程序。事件驱动:Node.js 使用非阻塞 I/O 模型,使其非常适合处理大量并发连接,这使得它在构建实时应用程序(如聊天应用)时非常高效。单线程。
HOW - SVG 图标组件封装(Lucide React)
weixin_58540586的博客
07-18 856
在中我们介绍过 “动态 Fetch CDN SVG 图标”,这种在开发者将需要用到 图标 依次上传到 CDN 再在项目通过请求引入使用的场景。但其实,更常见的做法还是统一维护一组 SVG 图标,然后将其封装成组件,直接在项目中通过 Import 的形式使用。
vue3配置代理
Joe world的博客
07-16 155
【代码】vue3配置代理。
基于WebGoat平台XSS攻击实验
05-23
它包含许多常见的Web安全漏洞,包括跨站点脚本(XSS)攻击。下面是一个基于WebGoat的XSS攻击实验: 1. 下载并安装WebGoat:您可以从OWASP官网下载WebGoat,根据官方文档安装和配置。 2. 启动WebGoat:启动WebGoat...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值