免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
介绍
盲打:完全黑盒测试,不知道哪些地方存在XSS,直接能插XSS的地方都插入试试)
cookie盗取:盗取用户浏览器cookie(凭据)
对session(会话)、jwt(令牌)等身份验证技术没有效果
如何盗取?
工具项目:XSS平台、beff-xss
管理员登录并查看日志
