记录一次xss的挖掘过程

最新推荐文章于 2023-04-25 11:47:30 发布
最新推荐文章于 2023-04-25 11:47:30 发布
阅读量166 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangker12148/article/details/118761911
版权

前言

这是前段时间做项目遇到的,然后就记录一下过程吧,其实就是一个很简单%0a%d的绕过,不过是自己粗心导致浪费了很多时间。

步骤

这是最终的payload

%22%7d%29%7d%0a%0d%61%6c%65%72%74%28%31%29%3b%0a%0d%3c%2f%73%63%72%69%70%74%3e%22

在这里插入图片描述
最开始是闭合双引号,然后想直接输入alert发现会拦截,以为是拦截alert,直到把所有的弹窗函数都试了一遍后,发现都不行
在这里插入图片描述

然后试试%0a%0d,没想到不拦截了
在这里插入图片描述
然后后面就好说啦,直接闭合script标签和function函数的括号,就行啦,没想到啊没想到,竟然不弹
在这里插入图片描述
于是自己本地把这个scrip标签内容拿去测试一下,发现也不弹

在这里插入图片描述
最开始以为是优先级的问题,遇是把alert放在function前面发现也不弹,说明不是优先级的问题,然后就一个一个排错,最终找到罪魁祸首竟然是一个分号!!!(左边不弹,右边弹)
在这里插入图片描述
然后找到原因之后就拿去网站试试,最终弹窗啦!!
在这里插入图片描述

ker宝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手动挖掘xss漏洞
qq_57307348的博客
02-17 1691
得到
第一节 自动化xss挖掘介绍-01
09-15
xsser是一款功能强大且灵活的自动化XSS挖掘工具,旨在帮助Web安全测试员和开发者快速发现和修复Web应用程序中的XSS漏洞。xsser工具可以自动化地扫描Web应用程序,检测潜在的XSS漏洞,并提供详细的漏洞报告。 xsser...
分享一些近期学到的XSS挖掘方法
anquanniu的博客
04-30 1141
本文核心套路来自 Novy@白帽100少先队 为实际运用及效果分享 开头 已经很久没写一些正常的技术博文了… 之前全都是在骂人和吐槽、吃瓜,相信大家也看腻了 该好好分享一些技术性的东西了 文章中出现所使用的payload放在最下面了哦,慢慢看说不定对你有帮助(其实是从novy那里白嫖来的23333亲亲他) 以下分享全部为实际案例,如有冒犯欢迎来打我(头铁) 个人资料处的存储xss 给你取一个好听的...
手动挖掘XSS漏洞
LJH1999ZN的博客
02-17 2638
一、xss注入的思路 在目标网站找到注入的点,例如注册,留言,搜索,提交,评论等页面 在注入点输入一些字符,' " < > script alert javascript,点击提交查看是否被过滤。 通过未过滤的语句判断是否可以进行js代码的编写 提交构造的脚本,或者通过绕过的方式查看源码,判断是否存在xss漏洞 一般查询接口、用户登录、搜索、订单提交容易出现反射型XSS,留言板、评论、用户昵称、用户信息等凡是可以提交数据由服务器进行存储和显示的位置都有可能出现存储型跨站容易出现存储型X
xss挖掘思路分享_WEB安全(二) :XSS的漏洞挖掘(上)
weixin_28829479的博客
01-10 655
ps:上一篇讲了基本的xss类型,反射型和存储型,以及xss可以做的一些事情。本文则比较上一篇做一个较为深入的研究。如何在网站上面进行漏洞的一些挖掘挖掘思路1,url 我们知道这类xss的输入点在URL上面,首先,我们对URL的组成进行如下介绍 <scheme>://<netloc>/<path>?<query>#<fragment&...
手把手教你XSS漏洞常见类型挖掘方法
tangshuangsss的专栏
12-03 4618
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介本篇文章将讲解XSS三大类中一些细小分类漏洞挖掘方法和漏洞形成原理说明,附源码分析。将展示以下类...
记录一次cnvd挖掘过程
蚁景网安学院
05-19 1355
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
一次xss的黑盒挖掘和利用过程
weixin_30730151的博客
01-23 199
挖掘过程一: 自从上一次投稿,已经好久好久没写文章了。今天就着吃饭的时间,写篇文章,记录下自己学习xss这么久的心得。在我看来。Xss就是javascript注入,你可以在js语法规定的范畴内做任何事情,js可谓强大,本次结合一次挖掘xss过程xss的综合利用来探讨,小菜一枚,希望大牛不吝赐教。文章里的网站打码,大家见谅 我们先看看网站 测试储存型xss的话,黑盒测...
我的一些实战的漏洞挖掘过程(一)
Ba1_Ma0的博客
04-25 1711
最近挖到的漏洞,在这里分享一下,有些信息比较敏感就打码处理,目标网站都换为target.com。
XSS漏洞挖掘与安全防护.pdf
08-08
XSS相关漏洞一直是无法忽略的问题,即使再好的开发工程师也避免不了写出”不安全”的代码,这次议题将深入浅出的介绍一下XSS漏洞形成与危害。
xss利用于挖掘
08-17
学习xss利用及挖掘的好资料,有助于新手安全学习入门使用
Flash XSS漏洞挖掘1
08-03
1. Introduction 2. Vulnerability Analysis Requirement 3. Case Study In Real Worl
记录几种XSS绕过方式1
08-03
记录几种XSS绕过方式一.服务端全局替换为空的特性比如某站正则 过滤了onerror 过滤了script 这些 但是“ 或者 ‘ 这这种符号会变成空可以绕过,例
患者发生输液反应的应急预案及护理流程(医院护理资料).docx
06-15
患者发生输液反应的应急预案及护理流程(医院护理资料).docx
chromedriver-win64_121.0.6105.0.zip
最新发布
06-15
chromedriver-win64_121.0.6105.0.zip
chromedriver-win64_120.0.6099.35.zip
06-15
chromedriver-win64_120.0.6099.35.zip
php+sql成绩查询系统(系统+论文+答辩PPT).zip
06-15
php+sql成绩查询系统(系统+论文+答辩PPT).zip
这是一个使用java开发的简单帝国古典象棋游戏.zip
06-15
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。
xss漏洞挖掘思路包括
05-24
以下是一些常见的 XSS 漏洞挖掘思路: 1. 输入点测试:检查应用程序中任何通过用户输入向服务器发送数据的位置,例如表单、搜索框、评论框等。 2. 输出点测试:检查应用程序中任何将数据呈现给用户的位置,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值