记录一个某网站的反射型XSS

4319083   ·   发表于 2021-08-13 23:31:56   ·   实战纪实

使用谷歌选一个网站开始,用老师给的XSS语句 见框就插

发现有个页面弹窗了,换其他浏览器看下并没有弹窗是反射型的XSS
那就可以构造语句了,把alert(1)换成攻击代码
打开XSS平台生成攻击代码


替换为XSS平台生成的攻击代码

然后可以使用短网址生成伪装一下

换成火狐浏览器打开刚刚的网站注册账号登录上去,再关闭浏览器这样就会网页就会记录我的cookie
我把生成的短网址,使用火狐浏览器打开

打开之后显示了我的攻击代码,返回XSS平台看下有没有打到我登录账号的cookie


显示了一串cookie,使用谷歌浏览器打开,把打到的cookie复制到网页里面(=前面的复制到前面,=;里的,是复制到后面的)
再刷新下就显示登录我的账号

我本地测试了一下是可以的,我把语句发给客服看哈

用户名金币积分时间理由
Track-手电筒 15.00 0 2021-08-18 16:04:33 活动额外奖赏
Track-手电筒 30.00 0 2021-08-18 16:04:54 一个受益终生的帖子~~

打赏我,让我更有动力~

2 Reply   |  Until 1个月前 | 429 View

Track-聂风
发表于 2个月前

同学可以补充一下后续在这个网站挖到了什么其他的漏洞。
最后一张图片漏码了。溜溜自学网

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 1个月前

原来漏洞这么多.

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者