1.從本書《Web安全攻防-滲透測試實戰指南》的同步網站上下載安裝文件。https://www.ms08067.com/ 2．解壓文件，解壓密碼:ms08067.com 3.將文件拷貝到www目錄下。 4.在數據庫中新建一個xssplatform的數據庫。 5.將www\xss目錄 ...

在學習xss漏洞之前我們先學習一下，什么叫做同源策略。 所謂同源策略指的是，瀏覽器對不同源的腳本或文本的訪問方式進行限制。 所謂同源指的是，域名，協議，端口相同。 在HTML語言中，有部分標簽在引用第三方資源時，不受同源策略的限制： <script> > ...

目前網上的資源整理不是針對入門玩家，都需要一定的java漏洞調試基礎，本文從一個簡單的FastJson 漏洞開始，搭建漏洞環境，分析漏洞成因，使用條件等。從入門者的角度看懂並復現漏洞觸發，擁有屬於自己的一套漏洞調試環境。 0x01 Fastjson簡介Fastjson 是Alibaba的開源 ...

0x01 簡介 Vulhub是一個面向大眾的開源漏洞靶場，無需docker知識，簡單執行兩條命令即可編譯、運行一個完整的漏洞靶場鏡像。旨在讓漏洞復現變得更加簡單，讓安全研究者更加專注於漏洞原理本身。 在這之前我們先要安裝docker和docker-compose 0x02 docker安裝 ...

0x00 docker簡介 把原來的筆記整理了一下，結合前幾天的一個漏洞，整理一篇簡單的操作文檔，希望能幫助有緣人。 docker是一個開源的應用容器引擎，開發者可以打包自己的應用到容器里面，然后遷移到其他機器的docker應用中，可以實現快速部署。如果出現的故障，可以通過鏡像，快速恢復服務 ...

跨站腳本( Cross-site Scripting,簡稱為XSS或跨站腳本或跨站腳本攻擊)是一種針對網站應用程序的安全漏洞攻擊技術，是代碼注入的一種。 XSS攻擊可以分為三種：反射型、存儲型和DOM型 反射型XSS 反射型XSS又稱非持久型XSS,這種攻擊方式往往具有一次性 攻擊方式 ...

什么是存儲性XSS那？ 通俗理解就是”xss“語句存在服務器上，可以一直被客戶端瀏覽使用，所有登陸某一個存在”存儲性xss“的頁面的人，都會中招，可以是管理員，可以是普通的用戶，所以他的危害是持續性的，造成的后果也是巨大的。 跨站腳本（XSS, Cross Site Script）攻擊 ...

1、xss的形成原理 xss 中文名是“跨站腳本攻擊”，英文名“Cross Site Scripting”。xss也是一種注入攻擊，當web應用對用戶輸入過濾不嚴格，攻擊者寫入惡意的腳本代碼（HTML、JavaScript）到網頁中時，如果用戶訪問了含有惡意代碼的頁面，惡意腳本就會被瀏覽器解析 ...