014最新电影网站源码程序|自动采集|一键采集|静态生成|联盟利器,做视频搬运工的网站,wordpress对应的id,怎么测网站流量吗某职业技术学院网站xss挖掘#xff1a; 资产归纳
例如#xff1a;先把功能点都看一遍#xff0c;大部分都是文章 根据信息搜集第一课学习到一般主站的防御力是比较强的#xff0c;出现漏洞的点不是对新手不友好。 在资产验证过程中还是把主站看了一遍 没有发现有攻击的机会…某职业技术学院网站xss挖掘 资产归纳
例如先把功能点都看一遍大部分都是文章 根据信息搜集第一课学习到一般主站的防御力是比较强的出现漏洞的点不是对新手不友好。 在资产验证过程中还是把主站看了一遍 没有发现有攻击的机会新手勿喷
而后的验证过程中发现了一篇文章里面有一个超链接 好小的一个资产跳转是学生工作处的360百科 正是一个超链接导致漏洞的产生 查看源代码
a hrefhttps://baike.so.com/doc/1987345-2103221.html
span stylefont-size:1px;font-family:微软雅黑,sans-serif;color:blue折叠/span原因分析 提示这里填写问题的分析 例如 a标签中未作任何防护原本是通过点击事件触发超链接跳转经过恶意构造后形成xss 构造恶意xss
a hrefjavascript:alert(/xss/)
span stylefont-size:1px;font-family:微软雅黑,sans-serif;color:blue折叠/span
/a形成点击事件使超链接跳转到我们构造的地址中这里用xss弹框表示。
总结
主要还是思路的梳理资产验证寻找相当多的资产从而达到各个面的攻击。 得益于泷羽sec师傅的点播。
