记一次反射型XSS
- 1.反射型XSS
- 1.1.前言
- 1.2.测试过程
- 1.3.实战演示
- 1.3.1.输入框
- 1.3.2.插入代码
- 1.3.3.跳转链接
- 2.总结
1.反射型XSS
1.1.前言
关于这个反射型XSS,利用的方式除了钓鱼,可能更多的就是自娱自乐,那都说是自娱自乐了,并且对系统也没什么影响,那么这里就记一次真实的反射性XSS利用,当然啦,前面都说了是自娱自乐,不要当着,更多的还是需要存储型XSS或者DOM型XSS。
如果不太懂XSS,可以参考我之前写过的一篇XSS攻击详解。
文章链接:XSS攻击详解
1.2.测试过程
XSS攻击,简单来说就是遇框就插,插入代码<script>alert(1)</script>,看看是否能够弹出弹窗1。
当然啦不是插入就一定能弹,有时候可能会被过滤等等,都有可能,这里呢我就是插入后弹窗了,所以才想出写一篇文章来玩玩反射XSS,可以去忽悠忽悠朋友啥的。
1.3.实战演示
这里还是需要声明一下免责的,这里只是演示,不要拿去搞破坏,目前很多人不敢公开实战教程,就是怕很多其实就是心里不正常的人,拿去搞破坏,污染环境。
这里我也是对图片进行了消除,所以图片看起来比较花,请谅解~
1.3.1.输入框
通过这里可以看到下面有一个输入框,后续就在这个输入框中测试,这里也是无意间翻出来的。
1.3.2.插入代码
我们这里插入测试的代码<script>alert(1)</script>,通过点击查询后发现能够弹窗。
1.3.3.跳转链接
这里也是借用XSS平台生成了一个跳转链接,跳转到百度,
2.总结
对于XSS攻击来说,反射型只能自娱自乐,本次就是自娱自乐,后续继续找,看看有没有存储XSS,不过就算有存储XSS,估计我也不敢放出来,毕竟反射基本上影响的是自己或者引诱别人点击,而且存储XSS影响其他人这…
