day36WEB攻防-通用漏洞&XSS 跨站&MXSS&UXSS&FlashXSS&PDFXSS

本章知识点不是很重要，涉及到的漏洞也不是常见的，所以没有过多的阐述。

配套资源（百度网盘）

链接：https://pan.baidu.com/s/1xTp14wE-mqEr7EHU9nSCrg?pwd=nlsg 
提取码：nlsg

MXSS突变型XSS漏洞

MXSS参考链接：https://www.fooying.com/the-art-of-xss-1-introduction/

UXSS-Edge&CVE-2021-34506 

UXSS 全称 Universal Cross-Site Scripting

UXSS 是利用浏览器或者浏览器扩展漏洞来制造产生 XSS 并执行代码的一种攻击类型。  

MICROSOFT EDGE uXSS CVE-2021-34506

Edge 浏览器翻译功能导致 JS 语句被调用执行   

效果视频：https://www.bilibili.com/video/BV1fX4y1c7rX

Flashxss-swf 引用 js 的 xss

JPEXS Free Flash Decompiler

phpwind SWF 反编译 Flashxss

ExternalInterface.call 执行 JS 代码

Payload ：

/res/js/dev/util_libs/jPlayer/Jplayer.swf?jQuery=alert(1))}catch(

e){}//

PDFXSS-上传后直链触发

1 、创建 PDF ，加入动作 JS

2 、通过文件上传获取直链

3 、直链地址访问后被触发