本人单身狗一枚,这里要强调一下,我是哈士奇这种单身贵族,好了,进入正题 长夜漫漫,在这无聊的夜里,我打开了某个小网站准备看几部爱情动作片然后睡觉 当我打开影片搜索网页时,突然想起可以挖掘一下XSS或者是搜索型注入来玩玩 先直接插入<script>alert(1)</script>来测试一下: 发现搜 ...
分类:
其他好文 时间:
2017-08-11 10:06:39
阅读次数:
167
xss原理: xss叫跨站脚本攻击,是Web程序中常见的漏洞只用于客户端的攻击方式,其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。所以做网站的时候 ...
分类:
其他好文 时间:
2017-08-08 20:04:49
阅读次数:
217
下载链接 https://share.weiyun.com/46ebceb4fe91da144ad2661522a941e1 留言处存储型XSS 漏洞在content/guestbook/index.php 跟进RemoveXSS函数 像往常一样输入XSS代码然后进入后台查看过滤了哪些 后台查看源代 ...
分类:
数据库 时间:
2017-08-07 01:28:35
阅读次数:
690
前不久公司一个同事在QQ上找我,说要考察一下我们小组成员的综合能力,拿站思路,以及水平之类的,丢给我一个日本网站,让我将这个网站渗透一下,能有多深就多深... 我当时正在忙工作,简单的看了一下网站,是一个日本本土企业网站,界面倒是简洁,出于好奇又继续检验了一下后台语言用,发现用得是php,再看了看w ...
分类:
其他好文 时间:
2017-08-04 09:53:35
阅读次数:
88
1.lodash http://lodashjs.com/docs/ 基础工具包 2.merge-descriptors mixin的设计模式。 3.escapeHtml 转义字符串 对一段html代码进行转码,避免xss漏洞。 4.query string 在get请求中,把一个对象转换成URL中 ...
分类:
其他好文 时间:
2017-08-01 17:52:07
阅读次数:
168
Xss漏洞在这里我用靶机dvwa来简单介绍一下反射性xss漏洞。跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码..
分类:
其他好文 时间:
2017-07-19 11:48:04
阅读次数:
192
Xss(跨站脚本攻击)今天兽哥又给大家带来一份干货,关于xss漏洞问题Xss是一种基于html属性的攻击这是一种比较简单的方法然而现在存在xss漏洞已经很少了但是..注意这里我用到了但是我在挂代理去国外找网站时我发现某个渣渣国的很多很多网站存xss漏洞随便掏了一个给大家做一下尝试..
分类:
其他好文 时间:
2017-07-15 12:37:08
阅读次数:
143
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 ...
分类:
其他好文 时间:
2017-07-11 11:18:09
阅读次数:
162
不得不说注入的时代已经过去了,最近xss貌似比较热门。我就去恶补了一下,我表示我只是菜鸟,对xss不了解。所以从最基本的学起。 什么xss漏洞? 一、XSS攻击简介 作为一种HTML注入攻击,XSS攻击的核心思想就是在HTML页面中注入恶意代码,而XSS采用的注入方式是非常巧妙的。 在XSS攻击中, ...
分类:
其他好文 时间:
2017-07-01 13:47:23
阅读次数:
168
1、书籍《xss跨站脚本剖析与防御》上介绍的xss测试代码 <img src="javascrpt:alert('xss');">, <table background="javascrpt:alert(/xss/)"></table> 已经不能在多大数的浏览器上弹窗成功了 测试xss漏洞尽量改变习 ...
分类:
其他好文 时间:
2017-06-24 21:55:53
阅读次数:
221
