天马行空工作室

 找回密码
 加入天马
搜索
查看: 3773|回复: 2

关于xss盲打的一些讨论?

[复制链接]
发表于 2012-9-23 14:11:22 | 显示全部楼层 |阅读模式
近几周大家都讨论XSS盲打,我的个人理解主要是在用户投诉、反馈,意见提交,简历提交,客服系统等post表单处插入JS代码,获得cookie,最终利用此cookie 登录进后台。欢迎大家能够集思广益,道出xss盲打的本质。

还有几点不是太明白:
1、http://zone.wooyun.org/content/956
http://vas.letv.com/admin/feedback/feedback_list.php?qid=1&dstr=%7B%22start%22%3A%222012-08-27+00%3A00%3A01%22%2C%22end%22%3A%222012-09-03+23%3A59%3A59%22%7D&prov=%E5%8C%97%E4%BA%AC
?没有看到JS插在什么地方,插入的js代码具体是什么,怎么获取到了用户的邮箱等信息,希望牛人给出js代码。多谢

2、http://www.wooyun.org/bugs/wooyun-2010-011609
      酷6网FeedBack XSS盲打留言本后台  
?插入的具体js代码是什么?除了获取cookie的代码,应该还有其代码内容,请版主给点吧。呵呵。
发表于 2012-9-23 20:18:51 | 显示全部楼层
xss盲打不是新的技术,是一种有针对性的利用,而且与个体有关,像我,找到xss是点到为止,我估计了危害,但很少去利用造成这种危害。但有的人就是想要密码,要权限,他就想尽办法利用各种漏洞,xss盲打就是一种,说白了就是乱打,把xss 页面推给目标用户,获得cookie 后筛选找到权限高的,进而深入。

要知道,黑客的欲望是权限,而白帽子的欲望是漏洞。
发表于 2012-9-25 13:17:44 | 显示全部楼层
random_ 发表于 2012-9-23 20:18
xss盲打不是新的技术,是一种有针对性的利用,而且与个体有关,像我,找到xss是点到为止,我估计了危害,但 ...

/黑客的欲望是权限,而白帽子的欲望是漏洞/赞
您需要登录后才可以回帖 登录 | 加入天马

本版积分规则

Archiver|手机版|小黑屋|天马行空工作室 ( 京ICP备12003429号  

GMT+8, 2019-11-13 15:22 , Processed in 1.852299 second(s), 21 queries .

Powered by Discuz! v8

© 2010-2014 关于xss盲打的一些讨论? - XSS 天马行空工作室

快速回复 返回顶部 返回列表