結合釣魚**就可以做壞事
上次演示是用nc臨時接收是可以的,但是在長期的使用中,必須要有乙個平台
在乙個伺服器上面,可以做:獲取cookie,ip,使用者名稱,密碼
抓到session之後,可以做許可權維持。放到自己的資料庫裡面,隨時能抓到最新的額sessionid,別人一點察覺沒有
需要解壓到web的根目錄下面(www下面),第一次執行的時候是這個**:第一次使用需要配置一下
登入密碼:bluelotus
滲透測試 xss漏洞
存在輸入點 輸入內容被放入html 中 空格 看有沒有逃逸 常用語句 大小寫繞過 雙寫繞過 利用其它標籤構造 本質上是利用js事件 document.referer屬性 window.name屬性 location屬性 innerhtml屬性 documen.write屬性 編碼繞過 劫持訪問 盜用...
如何測試XSS漏洞
黑盒手動測試 對於非富文字在輸入框中輸入特殊字元 提交 在提交後的頁面檢視源 根據關鍵字tiehua查詢源 中的tiehua前後的 是否已經被轉義成 apos 如果未被轉義說明這個輸入框存在xss漏洞的嫌疑 提交bug 對於富文字輸入框輸入 如果頁面有出現排版問題或者js錯誤說明這個輸入框存在xss...
滲透測試之XSS 二
window.onload function script 二 篡改鏈結指向流量url 刷流量 只需將上面的到指定url即可 beef xss 第一步 在kali終端開啟beef service apache2 start 第二步 開啟apache服務 cd var www html 第三步 cd到...