什么是xss盲打?
簡單來說,盲打就是在一切可能的地方盡可能多的提交xss語句,然后看哪一條會被執行,就能獲取管理員的cooike。趁着沒過期趕緊用了,這樣就能直接管理員進后台。然后再上傳一句話,大馬最終滲透進內網。
盲打只是一種慣稱的說法,就是不知道后台不知道有沒有xss存在的情況下,不顧一切的輸入xss代碼在留言啊,feedback啊之類的地方,盡可能多的嘗試xss的語句與語句的存在方式,就叫盲打。
“xss盲打”是指在攻擊者對數據提交后展現的后台未知的情況下,網站采用了攻擊者插入了帶真實攻擊功能的xss攻擊代碼(通常是使用script標簽引入遠程的js)的數據。當未知后台在展現時沒有對這些提交的數據進行過濾,那么后台管理人員在操作時就會觸發xss來實現攻擊者預定好的“真實攻擊功能”。
通俗講就是見到輸入框就輸入提前准備的xss代碼, 通常是使用script標簽引入遠程的js代碼,當有后台人員審核提交數據時候,點擊了提交的數據,觸發獲取到有價值信息 。