攻破黑市最流行的釣魚網站(第二彈)
作者:由 壞蛋 發表于 體育時間:2017-10-26
上次有人向我反映,我講的過於快了,不適合菜鳥看,所以這次我寫的相對來說比較詳細~ 這對於有基礎的人來說可能比較煎熬,哈哈。大家秒懂的部分可以跳過~~
也可以看看我的第一篇:《攻破黑市最流行的釣魚網站》。
這次的比較簡單:對一個目標網站進行
白盒測試
,
這是後臺
可以看到,這邊是一個釣魚網站
對目標進行XSS白盒測試
點選領取禮包,這裡會彈出一個登入框
我們隨便輸入一個賬戶密碼
透過抓包修改裡面的引數
目測,這裡就兩個引數可以測試, 一個user 一個password
放上自己最常用的payload 在password 內
user=123123112312&password=123123“>//&submit=%E7%99%BB%E5%BD%95
”> 是
閉合標籤
是彈窗//為註釋掉後面的語法
現在我們進入後臺檢視,
可以看到,很明顯的,我們的
img標籤
已經執行成功了,但是沒有彈窗,這是為啥?
對其右擊-檢視原始碼
檢視他的屬性,我們發現,alert後面的語句沒有執行? 那麼,我們換個標籤試試
再次請求資料
user=123123112312&password=123123“>