xss标签和属性爆破
-
XSS ,全称 Cross-site scripting ,为了与 css (Cascading Style Sheets)区分。xss 攻击也称为跨站脚本攻击。
大体上经典的 xss 有三类:
反射型 xss:当服务端收到客户恶意输入时,直接将其写到响应中。
存储型 xss:服务端会将用户的恶意输入存储起来,当访问时将其写到响应中。
DOM 型 xss:主要由浏览器进行过滤未严谨。它的原理是通过 js 脚本对文档对象进行编辑,从而修改页面的元素。
实现的爆破的步骤:首先在测试点输入我们正常的exp,并抓包发送到Intruder模块。
将exp改为 <§§> ,以创建有效载荷位置。
在xss备忘单中点击:Copy tags to clipboard,点击Paste粘贴到Intruder的payload位置。
进行爆破。发现body标签没有被过滤。
西南地区IT社群(QQ)
- 云南
- 【昆明网页设计交流吧】243627302
- 【昆明nodejs交流吧】 243626749
- 【VUE】838405306
- 【云南程序员总群】343606807
- 【昆明UI设计】104031254
- 【云南软件外包】15547313
- 贵州
- 【PHP/java源码/站长交流群】55692114
- 四川
- 【成都Java/JavaWeb交流】86669225
- 【vaScript+PHP+MySql】116270060
- 【UI设计/设计交流学习群】135794928
- 重庆
- 【诺基亚 JAVA游戏博物馆】 559479780
- 【PHP,Java,Python,C++接单】 442103442
- 西藏