用户
搜索
  • TA的每日心情
    擦汗
    2017-4-17 12:32
  • 签到天数: 3 天

    连续签到: 3 天

    [LV.2]偶尔看看I

    i春秋-呆萌菜鸟

    Rank: 1

    4

    主题

    6

    帖子

    26

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2017-4-14
    发表于 2017-4-16 15:44:04 2232349
    怎末看一个网站是否存在xss?需要在网址后加入什么可以知道是否存在xss?
    XSS 分为反射型,存储型和dom型
    一般反射性XSS会在一些搜索框、输入框里面存在,可以输入的地方都可以试一试
    存储型XSS我遇到最多的就是在写信箱的地方
    dom型XSS就需要找JS的关键字了、了解一下dom树   安装个Firebug插件

    工具的话
    我使用最多工具的就是BruteXSS检测,也可以下载插件 XSS Me和360推出的护心镜
    据说护心镜挖dom很不错
    -----------------------------------------------------------------------------------------------
    快速挖XSS的话 Safe3 + brutexss  你就会发现反射型XSS原来会这么多
    指定站点挖的话 就细心一点,每个页面都点击一遍,遇到框框就插 能提交payload的就提交 再配合上插件
    使用道具 举报 回复
    发表于 2017-4-17 12:07:24
    xss分为反射、存储、dom型
    <script>alert('xss')</script>是常见的通用测试payload
    反射型一般在url的参数里插入payload测试;
    存储型的还得注意“闭合标签”来使自己的js代码生效;
    <script src="xxx.js"></script>一般是xss平台用来打cookie的;
    其实xss就是:让自己的js代码成功运行,造成的结果是:js能做到的,它都能做到

    评分

    参与人数 2魔法币 +33 收起 理由
    吴老板 + 3
    yyyxy + 30 感谢你的回答,i春秋论坛有你更精彩!..

    查看全部评分

    http://blog.163.com/sy_butian/欢迎交流
    使用道具 举报 回复
    发表于 2017-4-17 11:54:51
    最简单的就是工具扫!
    or
    手工一个一个url一个一个按钮抓包,然后一个一个参数的试试!

    测试语句就有很多种了~例如
    <script>alert"杨文最帅"</script>弹窗
    <script src="www.baidu/1.js"></script>引用这个js文件

    评分

    参与人数 1魔法币 +2 收起 理由
    吴老板 + 2

    查看全部评分

    使用道具 举报 回复
    发表于 2017-4-17 17:54:13
    xss我一般先用工具扫,有过滤的话看能不能绕过,杨文老哥说的没错,一个url一个url的错,你也可以用几个工具都扫扫看,因为会存在误报。我重点关注的是dom xss,个人问题吧,就是只能扫到dom xss,比如某改网,还天天让我交作业,他大爷的,可以r不下啊!就这样。
    www.lovehack.cn--不要在奋斗的年龄里选择了安逸!
    使用道具 举报 回复
    幽夜寒香 发表于 2017-4-17 17:54
    xss我一般先用工具扫,有过滤的话看能不能绕过,杨文老哥说的没错,一个url一个url的错,你也可以用几个工 ...

    看来又是一个被某改网祸害的大学生
    使用道具 举报 回复
    xss一般先用工具扫描,然后工具扫出来的,在一个一个验证,当然如果有时间,可以一个一个URL的手工查找,虽然比较累,但是准确率高,能找到一些扫描器扫不到的URL,
    使用道具 举报 回复
    发表于 2017-4-17 11:54:31
    xss黄金法则:见框就插  

    评分

    参与人数 2魔法币 +2 收起 理由
    尼玛王 + 1
    吴老板 + 1

    查看全部评分

    使用道具 举报 回复
    发表于 2017-4-17 12:18:34
    反射、存储的法则:
    页面返回内容有输入的内容,即可测试XSS的payload

    DOM的法则:
    找JS关键词:eval 、 document.write 等等~实际就是做js审计

    评分

    参与人数 2魔法币 +31 收起 理由
    Ycrazy + 1 感谢你的分享,i春秋论坛有你更精彩!.
    yyyxy + 30 感谢你的回答,i春秋论坛有你更精彩!..

    查看全部评分

    gh0stkey,米斯特安全团队核心。
    i春秋社区"通信安全"版主。
    关注米斯特安全团队:www.hi-ourlife.com
    使用道具 举报 回复
    发表于 2017-4-17 15:27:42
    yangwen 发表于 2017-4-16 17:54
    最简单的就是工具扫!
    or
    手工一个一个url一个一个按钮抓包,然后一个一个参数的试试!

    666  我的杨文

    评分

    参与人数 1魔法币 +3 收起 理由
    吴老板 + 3

    查看全部评分

    使用道具 举报 回复
    发表于 2017-4-17 15:28:46
    最简单的检测插入:

        ">  

    足够 。

    评分

    参与人数 1魔法币 +1 收起 理由
    吴老板 + 1

    查看全部评分

    使用道具 举报 回复
    发表于 2017-4-17 17:14:38
    想留言板这些地方都可以试插一下
    使用道具 举报 回复
    发表于 2017-4-17 17:15:01
    首先  你得确认你输入的内容是否能输出到前端
    使用道具 举报 回复
    发表于 2017-4-17 23:20:24
    见缝插针 然后是扫描 其次是搜索框哪里
    使用道具 举报 回复
    发表于 2017-4-18 09:03:16
    用工具扫,或者是用><script>alert('xss')</script> 来测试
    使用道具 举报 回复
    发表于 2017-4-18 09:29:10
    四个字吧:见框就插
    使用道具 举报 回复
    发表于 2017-4-18 11:16:25
    xss没啥好方法,见框插一下,尝试各种姿势,如果你能拿到网站源码你就可以审计一下,找一下可以插的地方
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册