手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

Xss漏洞挖掘新姿势£¬XSS ME的¡°小秘密¡±

来源£º本站整理 作者£º佚名 时间£º2019-04-19 TAG£º 我要投稿

说到xss漏洞挖掘,我们可以看到网上是这个样子的¡£


 
我们会看到有各种xss的文章方便大家了解相关的知识£¬以及搭建一些平台进行学习¡£而我最近在挖洞的时候£¬掌握了一种新的“姿势”£¬发现火狐浏览器的一款插件很好用£¬没错就是XSS-ME¡£

说是“神器”£¬有一点过£¬但他能快速高效的?#39029;?#39029;面可能存在的xss漏洞¡£熟练使用可以非常节省时间¡£但是£¬我在搜索的时候发现相关内容很少£¬内容与xss-me真正有关的更少¡£许多资料都是“为水而水”£¬所以想和大家分享一下我的经验¡£
我这里用的是个?#20064;?#26412;的xss me,但功能齐全依旧很好用¡£
进入正题£¬找到目标页面£¬鼠标右键£¬我们会看到(提前安装好)这个插件XSS ME Sidebar£¬XSS-Me常用来发现反射型的XSS缺陷¡£它会扫描页面中所有的表单£¬然后在所选择的页面上使用已经定义好的XSS Payloads进行攻击¡£在扫描完成以后£¬它会列出所有的页面£¬这些页面会显示payload¡£这些页面很可能受到XSS攻击¡£

这是打开以后的页面£¬我们能看到页面的重要参数£¨与burpsuite抓包看到的结果一致£©例如”gwid”,”id”,”pwd”£¬我们可以用插件?#28304;?#30340;payload进行测试¡£
而payload可以在XSS ME options中进行修?#27169;?#22686;加£¬删除¡£




有两个下拉选项£º
“run all tests”运行所有测试
“run top 9 tests”运行最上面9个£¬进行测试
旁边的“Execute”执行£¬点击我们就会看到开始运行了£¬运行时不要关这个框£¬

最后我们会看到这个结果展示页面£º


£¨这个图仅演示£©

接下来£¬根据结果我们可以进行手动测试xss£¬这样就方便多了£¬而?#39029;?#21151;率也会高很多¡£
下面是利用这个方法测得的某网站存在xss£¬有兴趣的朋友们快去试试吧£¡

?#26087;?#26126;¡¿:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的£¬并不代表本站赞同其观点?#25237;?#20854;真实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类热门
      • 最近下载
      ¹ºÂò²ÊƱȨÍþÍøÖ·
      手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中