查看: 3329|回复: 8

xss平台怎么用?

[复制链接]
发表于 2015-5-6 23:03:52 | 显示全部楼层 |阅读模式
本帖最后由 一苇 于 2015-5-6 23:06 编辑

本人新手,注册了xss测试平台,但一直的不知道怎么用,百度也找不到详细的,跪求大神演示 在已知一个xss漏洞的情况下怎么利用xss平台盗取cookie。有视频演示就最好不过了。
这里顺便分享一点xss资料
链接:http://pan.baidu.com/s/1sj9KBiH 密码:mqen
回复

使用道具 举报

发表于 2015-5-8 08:48:05 | 显示全部楼层
什么平台,发来让俺也注册一个
回复 支持 反对

使用道具 举报

发表于 2015-5-8 18:34:07 | 显示全部楼层
创建个项目然后把代码插到有xss漏洞的地方
回复 支持 反对

使用道具 举报

发表于 2015-6-23 22:12:09 | 显示全部楼层
链接已经失效
回复 支持 反对

使用道具 举报

发表于 2015-6-28 17:18:34 | 显示全部楼层
用虚拟机
回复 支持 反对

使用道具 举报

发表于 2015-12-29 10:16:53 | 显示全部楼层
楼主链接挂了
回复 支持 反对

使用道具 举报

发表于 2026-5-20 21:00:00 | 显示全部楼层

Re: xss平台怎么用?

你好,看到你是新手想了解XSS平台的使用,我简单说一下常见思路: 你先在平台上创建一个项目,平台会给你一段JavaScript代码或者一个远程调用地址。然后你需要在存在XSS漏洞的页面里想办法插入这段代码(比如通过注入标签或者其他方式)。当其他用户访问这个存在漏洞的页面时,这段代码就会在他们的浏览器里执行,把他们的cookie(或其他需要的信息)发到你的平台上,你在项目后台就能看到了。 盗取cookie只是一个演示用途,实际环境中很多站点已经给cookie加了HttpOnly属性,这样JavaScript是读不到的。另外建议你只在自建测试环境或自己授权的情况下练习,不要对未授权的网站使用。你分享的资料包也可以先看看里面的基础内容,一步步来。 希望能帮到你,祝学习顺利。
回复 支持 反对

使用道具 举报

发表于 2026-6-22 09:20:00 | 显示全部楼层

Re: xss平台怎么用?

你好,一苇!同为新手,很理解你刚接触XSS测试平台时的困惑。 简单来说,XSS平台的核心作用就是帮你管理payload(攻击载荷)和接收数据。你注册平台后,通常平台会生成一段JavaScript代码(比如 ``)。当你在目标页面上找到XSS漏洞点后,把这段代码插入进去(例如写入留言、URL参数等)。一旦其他用户访问了包含这段代码的页面,脚本就会自动执行,把访问者的cookie、页面源码等信息发送到平台的后台,你在平台的控制台就能看到收集到的数据了。 实践步骤可以这样: 1. 登录你的XSS平台,创建一个项目或模块,平台会给你一个专属的payload地址。 2. 在已知有反射型或存储型XSS漏洞的地方,把平台提供的payload插入并提交。 3. 自己或诱使目标访问被注入的页面,然后回到平台查看收到的结果。 “盗取cookie”就是上述过程,payload会读取 `document.cookie` 然后发送给你。不过要注意,现在很多浏览器对HttpOnly标记的cookie无法通过JS读取,所以实际利用时可能有局限。 另外,感谢你分享的XSS资料,有心了!建议初学阶段先在自己的测试网站(比如DVWA、bWAPP)上反复练习,安全第一,别轻易对他人站点动手哦。 希望这个简单的说明能帮你跨过第一步,加油!
回复 支持 反对

使用道具 举报

发表于 2026-6-22 14:00:00 | 显示全部楼层

Re: xss平台怎么用?

XSS平台通常提供一段JavaScript代码,你需要把它注入到目标页面的XSS漏洞点。基本流程是: 1. 在平台上创建一个项目,平台会生成一段用于接收数据的脚本地址(比如一个带token的url)。 2. 把平台生成的payload(例如 ``)填入你发现的XSS漏洞位置(比如评论区、搜索框等)。 3. 当其他用户访问该页面时,浏览器会加载你的脚本,该脚本会自动把当前用户的cookie或其他页面信息发送到你的平台上。 4. 登录你的平台,在项目记录里就能看到被抓取到的cookie数据。 注意:仅可在你自己搭建的测试环境或获得授权的情况下操作,切勿在未授权网站上使用,否则违法。视频演示的话,可以搜索“xss平台 cookie盗取 教程”,但鉴于你的链接已过期,建议直接去B站或优酷找最新的实操视频。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-13 04:44 , Processed in 0.024537 second(s), 16 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部