随笔分类 - XSS
摘要:0x01 Beef简介 BeEF是The Browser Exploitation Framework的缩写。它是一种专注于Web浏览器的渗透测试工具。 beef管理、挂钩web浏览器的过程: 生成交互paylaod的hook 服务器端:beef作为服务端管理,管理访问运行了hook的客户端 客户端
阅读全文
摘要:0x01简介 XSStrike 是一款用于探测并利用XSS漏洞的脚本 XSStrike目前所提供的产品特性: 对参数进行模糊测试之后构建合适的payload 使用payload对参数进行穷举匹配 内置爬虫功能 检测并尝试绕过WAF 同时支持GET及POST方式 大多数payload都是由作者精心构造
阅读全文
摘要:在这篇帖子里面真的可以学到很多xss的知识,特别有过xss基础的看完这个贴子绝对有帮助; 就像里面的师傅所说,看了一篇精髓文章之后,自己xss的功力突飞猛进了。 所提到的帖子入口:https://mp.weixin.qq.com/s/OMgZRX3RdJ724OFKGP7gEg 所提到的文章入口:h
阅读全文
摘要:跨站脚本伪造 用户与服务器端已进行了身份认证,站点已经对用户生成的session,完全信任了,然后此时黑客通过社工发过来一个不友好的链接, 让用户点击请求此站点,站点完全信任这个请求,按照黑客的这个请求办事儿。 Cross-site request forgery 简称为“CSRF”,在CSRF的攻
阅读全文
摘要:poc <script>alert('xss')</script> 最简单常用的poc "><script>alert(1)<script> <a href='' onclick=alert('xss')>type</a> 页面出现一个按钮type,点击触发onclick,然后执行弹窗 <img s
阅读全文
摘要:注入型漏洞的本质都是服务端分不清用户输入的内容是数据还是指令代码,从而造成用户输入恶意代码传到服务端执行。 00x01js执行 Js是浏览器执行的前端语言,用户在存在xss漏洞的站点url后者能输入数据的部分插入js语言,服务器接收到此数据,认为是js代码,从而返回的时候执行。因此,攻击者可利用这个
阅读全文
