1.从本书《Web安全攻防-渗透测试实战指南》的同步网站上下载安装文件。https://www.ms08067.com/ 2．解压文件，解压密码:ms08067.com 3.将文件拷贝到www目录下。 4.在数据库中新建一个xssplatform的数据库。 5.将www\xss目录 ...

在学习xss漏洞之前我们先学习一下，什么叫做同源策略。 所谓同源策略指的是，浏览器对不同源的脚本或文本的访问方式进行限制。 所谓同源指的是，域名，协议，端口相同。 在HTML语言中，有部分标签在引用第三方资源时，不受同源策略的限制： <script> > ...

目前网上的资源整理不是针对入门玩家，都需要一定的java漏洞调试基础，本文从一个简单的FastJson 漏洞开始，搭建漏洞环境，分析漏洞成因，使用条件等。从入门者的角度看懂并复现漏洞触发，拥有属于自己的一套漏洞调试环境。 0x01 Fastjson简介Fastjson 是Alibaba的开源 ...

0x01 简介 Vulhub是一个面向大众的开源漏洞靶场，无需docker知识，简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单，让安全研究者更加专注于漏洞原理本身。 在这之前我们先要安装docker和docker-compose 0x02 docker安装 ...

0x00 docker简介 把原来的笔记整理了一下，结合前几天的一个漏洞，整理一篇简单的操作文档，希望能帮助有缘人。 docker是一个开源的应用容器引擎，开发者可以打包自己的应用到容器里面，然后迁移到其他机器的docker应用中，可以实现快速部署。如果出现的故障，可以通过镜像，快速恢复服务 ...

跨站脚本( Cross-site Scripting,简称为XSS或跨站脚本或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术，是代码注入的一种。 XSS攻击可以分为三种：反射型、存储型和DOM型 反射型XSS 反射型XSS又称非持久型XSS,这种攻击方式往往具有一次性 攻击方式 ...

什么是存储性XSS那？ 通俗理解就是”xss“语句存在服务器上，可以一直被客户端浏览使用，所有登陆某一个存在”存储性xss“的页面的人，都会中招，可以是管理员，可以是普通的用户，所以他的危害是持续性的，造成的后果也是巨大的。 跨站脚本（XSS, Cross Site Script）攻击 ...

1、xss的形成原理 xss 中文名是“跨站脚本攻击”，英文名“Cross Site Scripting”。xss也是一种注入攻击，当web应用对用户输入过滤不严格，攻击者写入恶意的脚本代码（HTML、JavaScript）到网页中时，如果用户访问了含有恶意代码的页面，恶意脚本就会被浏览器解析 ...