记录一个某网站的反射型XSS
使用谷歌选一个网站开始,用老师给的XSS语句 见框就插
发现有个页面弹窗了,换其他浏览器看下并没有弹窗是反射型的XSS
那就可以构造语句了,把alert(1)换成攻击代码
打开XSS平台生成攻击代码
把
替换为XSS平台生成的攻击代码
然后可以使用短网址生成伪装一下
换成火狐浏览器打开刚刚的网站注册账号登录上去,再关闭浏览器这样就会网页就会记录我的cookie
我把生成的短网址,使用火狐浏览器打开
打开之后显示了我的攻击代码,返回XSS平台看下有没有打到我登录账号的cookie
显示了一串cookie,使用谷歌浏览器打开,把打到的cookie复制到网页里面(=前面的复制到前面,=;里的,是复制到后面的)
再刷新下就显示登录我的账号
我本地测试了一下是可以的,我把语句发给客服看哈
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-手电筒 | 15.00 | 0 | 2021-08-18 16:04:33 | 活动额外奖赏 |
| Track-手电筒 | 30.00 | 0 | 2021-08-18 16:04:54 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
Track-聂风
发表于 2021-8-14
同学可以补充一下后续在这个网站挖到了什么其他的漏洞。
最后一张图片漏码了。溜溜自学网
评论列表
加载数据中...
小酒
发表于 2021-8-23
原来漏洞这么多.
评论列表
加载数据中...