XSS 本质
大家可能经常听到注入点之类的的名称
或者是XSS(跨站漏洞)
那么你谷歌去查询会给你很多不知所云的东西,可能很专业,但是看起来很费劲
那么我今天就用一段很简短利于理解的话进行总结:
xss其实就是控制浏览器的javascript,可以通过这个漏洞来插入你自己定义想要执行的javascript
然后大家要知道javascript能够做什么,那么javascript能做的事情,就是你这个漏洞能做的事情
javascript能做什么这个可以自己去谷歌,咱们这里作为基础篇,我们只举例几个最常见的
首先javascript可以获取浏览器cookie,那么cookie是干啥的?
cookie就是你登陆某个网站后的唯一凭证,简单来说,如果有了cookie,就能直接上你账号了,连用户名和密码都不需要了,简单粗暴,效果喜人。
然后我们举个栗子:
某网站有个xss的漏洞,你凑巧知道了,那么你提交一个beef的hook.js。让管理员或者用户访问这个网站时,他的cookie会直接发到你的平台里,替换一下cookie,你就和他权限一样了
这就是跨站最常用的功能,盗取登陆信息
盲打后台神马的都是从这个上面引申出来的。