西南IT社区
    • 注册
    • 登录
    • 搜索
    • 主页
    • 问答
    • 话题
    • 热门
    • 圈子
    • 工作机会
    • 活动
    • 项目

    xss标签和属性爆破

    极客生涯
    xss xss标签和属性爆破
    1
    1
    70
    正在加载更多帖子
    • 从旧到新
    • 从新到旧
    • 最多赞同
    回复
    • 在新帖中回复
    登录后回复
    此主题已被删除。只有拥有主题管理权限的用户可以查看。
    • B
      banyuankang9 最后由 编辑

      XSS ,全称 Cross-site scripting ,为了与 css (Cascading Style Sheets)区分。xss 攻击也称为跨站脚本攻击。
      大体上经典的 xss 有三类:
      反射型 xss:当服务端收到客户恶意输入时,直接将其写到响应中。
      存储型 xss:服务端会将用户的恶意输入存储起来,当访问时将其写到响应中。
      DOM 型 xss:主要由浏览器进行过滤未严谨。它的原理是通过 js 脚本对文档对象进行编辑,从而修改页面的元素。
      实现的爆破的步骤:首先在测试点输入我们正常的exp,并抓包发送到Intruder模块。
      25d7b96f-8044-424e-97e4-80de08af88f9-image.png
      将exp改为 <§§> ,以创建有效载荷位置。
      ff0ff6c0-ebdb-44f5-9df2-9c81466aaa7f-image.png
      在xss备忘单中点击:Copy tags to clipboard,点击Paste粘贴到Intruder的payload位置。
      47a6334b-ab3e-4a9e-938e-e80a78af0f64-image.png
      进行爆破。发现body标签没有被过滤。
      3133cc36-af16-4f82-9bb6-670d9a74a2c7-image.png

      1 条回复 最后回复 回复 引用 0
      • First post
        Last post
      使用HTML构建办公软件 使用HTML构建办公软件 使用HTML构建办公软件
      B
      漫
      成
      Y
      洋
      书
      Y
      D
      U
      Y
      娇
      玩
      1
      光
      A
      庆
      小
      U
      Y
      L
      I
      Z
      I
      Y
      C

      西南地区IT社群(QQ)
      云南
      【昆明网页设计交流吧】243627302
      【昆明nodejs交流吧】 243626749
      【VUE】838405306
      【云南程序员总群】343606807
      【昆明UI设计】104031254
      【云南软件外包】15547313
      贵州
      【PHP/java源码/站长交流群】55692114
      四川
      【成都Java/JavaWeb交流】86669225
      【vaScript+PHP+MySql】116270060
      【UI设计/设计交流学习群】135794928
      重庆
      【诺基亚 JAVA游戏博物馆】 559479780
      【PHP,Java,Python,C++接单】 442103442
      西藏
      社群
      昆明网页设计交流吧
      友情链接
      • Funtask
      • Funtask 社区
      • SUWIS
      ©2019-2021 滇ICP备20006698号