利用最近热门的Xss漏洞能做什么?
1、针对性挂马 所以这类网站一定是游戏网站,银行网站或者是关于qq、taobao或者影响力相当大的网站等,它们必须有我们平常需要盗取的帐号密码;当然也或许是这个站点的浏览量相当高,我们能将更多的马挂出去。 而如果仅仅是平平常常的一个小站点的XSS漏洞,如果我们要挂马,那么莫不如就直接把木马页面地址贴出去。 2、用户权限下操作 这类网站则必须有会员了,而且这些会员有很多有意义的操作或者有我们需要的内部个人资料,所以我们可以通过XSS对已登录访问者进行有权限操作。我认为cookies的盗取应该算作这一项,因为其目的也是获取用户操作权限(盗密码包括在内),从而获取用户某些信息或者进行权限下的相关操作。 3、Dos攻击或傀儡机 这同样需要一个访问量非常大的站点,利用小站点莫不如我们自己攻击或获取信息。我们可以通过此页的访问用户不间断地攻击其他站点,或者进行局域网扫描等等。这类js工具早已经产生,js端口扫描、jikto、xssshell等等。 4、提权 一般这主要发生在论坛或信息管理系统,总之一定要有管理员了。这需要攻击者对目标系统相当熟悉(一般这样的系统需要开源代码),从而知道怎样构造语句进行提权。 5、实现特殊效果 譬如Monyer在百度空间的插入视频,插入版块;譬如一些人在新浪博客或者校内网实现的特殊效果等等。 结论: 从而你应该了解到这些网站应该具有的性质: 极高的访问量,有会员,有管理员,有具有价值的帐号密码,或者有意义进行特殊效果的实现。 如果你读过《Ajax Hacking with XSS》,你应该知道XSS至少包含input XSS和textarea XSS等七种方式。 其中url XSS属于input XSS,这些漏洞大部分属于保留式的XSS,而textarea XSS等一般属于不保留XSS。 这意味着正常访问一个页面是不会触发保留式的XSS的,尽管这是大部分网站具有的漏洞,其中搜索部分又称搜索式XSS漏洞。 所以当你获取了一个input XSS,你仅仅alert出一个小框框。你跟别人大吹大擂,你发现了一个漏洞,并且你可以alert一个框框给他看,但是事实上你什么都做不了。即使你能挂些小木马,那也是很没意义的事情——因为你莫不如直接在自己的虚拟主机里做XSS页面发给别人。 这个跟sql注入不同,XSS毕竟是客户端的东西。sql注入的目的往往是为了得到目标系统的权限,并且sql语句本身执行的就是服务端的指令;但 XSS一般却是为了获得客户端的东西,执行的也是客户端的指令。所以他们可以“'”一下“出错了”而大喊,你却不能因为“alert”出了“xss窗口” 而乱叫。
求采纳
漏洞扫描出现 警告 MHTML XSS 怎么处理
1,电脑网页漏洞吧,修复一下就好了
2,装个电脑管家到你电脑上
3,然后选择工具箱的修复漏洞,然后修复一下就可以了
动态漏洞扫描工具的缺点
动态漏洞扫描工具的缺点要分一下几种类型讨论:
AWVS:漏洞扫描速度较快,准确率较高,漏洞规则库较为全面。漏洞验证可查看请求响应代码,但无中文界面。报表功能完整。有多重漏洞的验证工具。
Appscan:漏洞扫描速度一般,准确率最高,漏洞规则库最全面。漏洞验证可查看请求相应代码,拥有较完整的漏洞修复建议。报表功能完整。全中文界面
HPWebInspect:漏洞扫描速度一般,准确率较高,扫描类型较多。报表功能强大。可查看请求响应代码。无中文界面。
WebCruiser:此工具偏向渗透利用工具,扫描功能较弱。仅有轻量级SQL注入和XSS漏洞的扫描功能。具有SQL注入漏洞利用功能。
Nexpose:扫描速度快,能扫描系统层和web层2类漏洞,但web漏洞发现能力不如appscan,系统扫描能力不如Nessus。
我的网站扫描后有xss 和post漏洞这个是甚么意思!
很多防护软件都可以修复漏洞的.
比如说:腾讯电脑管家.他不光能修复电脑系统的漏洞,还有其他强大的功能.
电脑管家具有定期体检、及时修复漏洞、实时防护功能,同时拥有管理软件、查杀木马、系统优化、帐号保护、硬件检测、软件搬家等功能!
步骤:打开腾讯电脑管家修补漏洞扫描漏洞一键修复即可。
希望能够帮到你~
漏洞扫描都有哪几个厂商?国内或者国外的,分别有什么优势或者特点?
用于渗透测试的话,推荐:
用iPhone或iPad也能进行SQL注入扫描、跨站XSS漏洞扫描了,在越狱的手机上,使用Cydia搜索WebCruiser即可,会找到WebCruiser Web Vulnerability Scanner for iOS 版本。其中, 从bigboss源下载时需要收费的,但从其它源下载的话,你懂的
WebCruiser Web Vulnerability Scanner for iOS, an effective and convenient web penetration testing tool that will aid you in auditing your website!
WebCruiser can find the following web vulnerabilities currently:
* GET SQL Injection(Int, String, Search)
* POST SQL Injection(Int, String, Search)
* Cross Site Scripting(XSS)
XSS安全漏洞的几种修复方式
打开腾讯电脑管家——工具箱——修复漏洞,进行漏洞扫描和修复。
建议设置开启自动修复漏洞功能,开启后,电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞)时,第一时间自动进行修复,无需用户参与,最大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用。开启方式如下:进入电脑管家“修复漏洞”模块—“设置”,点击开启自动修复漏洞即可。
什么样的url适合xss漏洞扫描
点击系统上的腾讯电脑管家应用程序界面,在工具箱中,点击修复漏洞按钮
在漏洞修复界面中,展出可以安装的修复程序列表,如果简单的话,可以直接点击右侧的一键修复按钮
点击漏洞修复界面中的,已安装,就会返回已经安装的漏洞修复程序列表
点击右上方的设置按钮,进行漏洞修复设置
在设置界面中,可以设置程序的安装和修复方式,需要提醒自己,然后进行修复操作