XSS平台偷取cookie使用+XSS漏洞

 一、XSS平台

在线利用网站:

1、http://xsscom.com/

2、XSS平台-仅用于xss安全测试专用

XSS平台偷取cookie使用+XSS漏洞_第1张图片

XSS平台偷取cookie使用+XSS漏洞_第2张图片

 复制代码

XSS平台偷取cookie使用+XSS漏洞_第3张图片

 输入复制的代码

XSS平台偷取cookie使用+XSS漏洞_第4张图片

查看获取到的cookie 

XSS平台偷取cookie使用+XSS漏洞_第5张图片

二、xss触发方式

(1)在标签外:

 

(2)在标签内:

使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)

(1)12' οnclick='alert(1)

标签内不能使用

(2)存储型xss

将攻击者构造的恶意代码,存储到数据库中,并且在网站页面上自动执行代码。

(3)DOM型xss

需要用户点击

数据不到后端,直接由前端js进行处理

123456' οnclick='alert(1) 

标签内不能使用

XSS平台偷取cookie使用+XSS漏洞_第8张图片

 XSS平台偷取cookie使用+XSS漏洞_第9张图片

XSS平台偷取cookie使用+XSS漏洞_第10张图片

 xss:过滤

大小写绕过

双写绕过123">alert(1)

XSS平台偷取cookie使用+XSS漏洞_第11张图片

xss:htmlspecialchars 

htmlspecialchars转义特殊字符

&:转换为&

":转换为"

':转换为成为 '

<:转换为<

>:转换为>

12' οnclick='alert(1)

 使用伪协议javascript:alert(1) 

XSS平台偷取cookie使用+XSS漏洞_第12张图片

xss:href

可以放置url

XSS平台偷取cookie使用+XSS漏洞_第13张图片

 使用伪协议

javascript:alert(1)

XSS平台偷取cookie使用+XSS漏洞_第14张图片

xss:js

闭合

你可能感兴趣的:(渗透,xss,网络安全)