本帖最后由 诗文三千 于 2021-3-23 22:46 编辑
在渗透大佬们眼里“xss”是个很简单的漏洞利用技巧,在小白的眼里:“大佬,啥是xss?”
其实我们每个人都是从那个阶段过来的,不管是中途放弃还是一学到底,渗透测试中不可缺少的是xss的利用,我用我的方式讲解一下xss。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
“我明明按照网上的教程去做了,为什么没有任何效果呢?”很多小白在这里就犯迷糊了。如何注入、如何利用、如何查看?
首先我们要知道,xss的恶意代码需要自己去造一个,而不是百度嗖嗖的不停的找着测,虽然我过去也有过这样的情况。
怎么造呢,可以利用一个平台为自己创建一条“属于自己”的xss代码,往下看
https://xsshs.cn/
首先在平台上注册一个账号,选择我的项目旁边的“创建”,建立好后,最下面就有属于自己的xss代码,将它复制,在你的目标网站中找到插入点,进行插入即可。
打开F12观察一下是否插入,如果成功的话会有显示,xss一旦利用成功,就可以进行一系列的渗透操作,危害不小。
|
|
