安基網 首頁 安全 Web安全 查看內容

Xss漏洞挖掘新姿勢,XSS ME的“小秘密”

2020-1-19 08:29| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 搜索公眾號:暗網黑客教程可領全套安全課程、配套攻防靶場說到xss漏洞挖掘,我們可以看到網上是這個樣子的。 我們會看到有各種xss的文章方便大家了解相關的知識,以及搭建一些平臺進行學習。而我最近在挖洞的時候,掌握了一種新的“姿勢”,發現火狐瀏覽器的一款插件很好用,沒錯就是XSS-ME。說是“神器 ...

搜索公眾號:暗網黑客教程

可領全套安全課程、配套攻防靶場


說到xss漏洞挖掘,我們可以看到網上是這個樣子的。


我們會看到有各種xss的文章方便大家了解相關的知識,以及搭建一些平臺進行學習。

而我最近在挖洞的時候,掌握了一種新的“姿勢”,發現火狐瀏覽器的一款插件很好用,沒錯就是XSS-ME。

說是“神器”,有一點過,但他能快速高效的找出頁面可能存在的xss漏洞。

熟練使用可以非常節省時間

但是,我在搜索的時候發現相關內容很少,內容與xss-me真正有關的更少

許多資料都是“為水而水”,所以想和大家分享一下我的經驗。


我這里用的是個老版本的xss me,但功能齊全依舊很好用。


進入正題,找到目標頁面,鼠標右鍵,我們會看到(提前安裝好)這個插件XSS ME Sidebar,XSS-Me常用來發現反射型的XSS缺陷。

它會掃描頁面中所有的表單,然后在所選擇的頁面上使用已經定義好的XSS Payloads進行攻擊。


在掃描完成以后,它會列出所有的頁面,這些頁面會顯示payload。這些頁面很可能受到XSS攻擊。

這是打開以后的頁面,我們能看到頁面的重要參數(與burpsuite抓包看到的結果一致)例如”gwid”,”id”,”pwd”,我們可以用插件自帶的payload進行測試。

而payload可以在XSS ME options中進行修改,增加,刪除。

有兩個下拉選項:

“run all tests”運行所有測試

“run top 9 tests”運行最上面9個,進行測試

旁邊的“Execute”執行,點擊我們就會看到開始運行了,運行時不要關這個框,

最后我們會看到這個結果展示頁面:

(這個圖僅演示)

接下來,根據結果我們可以進行手動測試xss,這樣就方便多了,而且成功率也會高很多。

下面是利用這個方法測得的某網站存在xss,有興趣的朋友們快去試試吧!


本文作者:w0rth1

轉載注明:https://www.secpulse.com/archives/104127.html




小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6782435803684405764/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱