XSS平台的用法、存储型XSS、Dom based XSS
如何使用XSS平台
这里介绍一种常用的xss平台。https://xsspt.com/
如果xss的payload比较复杂的话,我们可以使用xss平台去获取cookie注册后先创建项目:
勾选相应的配置:
可以选用相应的payload:
存储型XSS:
持久型/存储型XSS:嵌入到web页面的恶意html代码会被存储到应用服务器;简而言之就是会被存储到数据库,等用户在打开页面时,会继续执行恶意代码,能够持续的攻击用户。
存储型XSS会出现在什么地方?
任何可能插入数据库的地方,比如:用户注册的时候,留言板,上传文件的文件名等。
例如:登录就弹窗了:
Dom Based XSS:
DOM-based XSS漏洞是基于文档对象模型(Document Object Model)的一种漏洞,DOM是一个与平台、编程语言无关的接口。允许程序或脚本动态的访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如URL,location,referer等。客户端的脚本程序可以通过DOM动态的检查和修改页面内容,它不依赖于提交到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM-baesd XSS漏洞。
DOM就是一个树状的模型,你可以编写javascript代码根据DOM一层一层的节点,去遍历、获取、修改对应的节点,对象,值。
每个载入浏览器的HTML文档都会成为Document对象。
Document对象使我们可以从脚本中对HTML页面中的所有元素进行访问。
Document对象属性:document.cookie //读取cookie
Document对象方法: